CyberArk hat eine neue Untersuchung zu einer schwerwiegenden Schwachstelle in Windows Hello veröffentlicht. Diese ermöglicht Angreifern, die Gesichtserkennung auf dem Zielgerät zu umgehen. Die Schwachstelle wird als CVE-2021-34466 geführt und mit einem Schweregrad von 5.7 nach CVSS eingestuft. Microsoft hat sie bereits in den Patch-Tuesday-Release aufgenommen.
Die CyberArk Labs sind das Forschungsteam, das die ausgefeilte GoldenSAML-Technik entdeckt hat, mit der die Angreifer auf SolarWinds eine der aufwändigsten Supply-Chain-Attacken aller Zeiten verübt haben. Der neuen Untersuchung zufolge könnte der Proof of Concept zur Umgehung der Gesichtserkennung bei der Authentifizierung ähnliche Auswirkungen auf gezielte Spionageaktionen weltweit haben.
Laut Microsoft verwenden 85% der Windows-10-Nutzer Windows Hello für die passwortlose Authentifizierung. Das Labs-Team hat eine Möglichkeit gefunden, die Sicherheitsaspekte hinter dem Gesichtserkennungsmechanismus, den Windows Hello verwendet, über eine speziell angefertigte USB-Kamera und ein Foto der Zielperson zu manipulieren.
Obwohl der Fokus der Forscher auf Windows Hello lag, hat der POC Auswirkungen auf jedes Authentifizierungssystem, bei dem eine ansteckbare USB-Kamera eines Drittanbieters als biometrischer Sensor fungiert.
Wie die Untersuchung zeigt, ist diese Art von Angriffen für gezielte Spionage äußerst relevant – wenn das Angriffsziel bekannt ist und ein physischer Zugriff auf ein Gerät vorhanden ist. Besonders für Forscher, Wissenschaftler, Journalisten, Aktivisten und andere User mit IP oder vertraulichen Daten auf ihren Geräten hätte das große Auswirkungen.
Omer Tsarfati, Security Researcher bei CyberArk Labs kommentiert:
„Basierend auf unseren ersten Tests zur Behebung der Schwachstelle schränkt die Verwendung von Enhanced Sign-in Security mit kompatibler Hardware die Angriffsfläche zwar ein, ist aber davon abhängig, dass Benutzer bestimmte Kameras einsetzen. Das systemimmanente Sicherheitsrisiko, dass man Peripheriegeräten implizit vertraut, bleibt bestehen. Um dieses inhärente Sicherheitsproblem abzuschwächen, sollte der Host die Integrität des biometrischen Authentifizierungsgeräts validieren, bevor er ihm vertraut."