Уязвимости были обнаружены специалистами Blackwing Intelligence в ходе исследования, проведенного при поддержке Microsoft Offensive Research and Security Engineering (MORSE), призванного оценить безопасность трех основных встроенных датчиков отпечатков пальцев, используемых для аутентификации Windows Hello.
Отметим, что В июне компания Microsoft добавила возможность входа на сайты через Windows 11 без паролей. В этом случае пользователю нужно будет ввести цифровой ПИН-код или отсканировать отпечаток пальца или лицо с помощью Windows Hello.
Исследователи тестировали встроенные датчики отпечатков производства ELAN, Synaptics и Goodix, установленные в устройства Microsoft Surface Pro X, Lenovo ThinkPad T14 и Dell Inspiron 15.
Все протестированные решения построены по технологии Match-on-Chip (MoC), то есть обладают собственным микропроцессором и хранилищем, что позволяет им более безопасно выполнять сопоставление отпечатков.
Хотя MoC-датчики предотвращают повторную передачу сохраненных данных об отпечатках пальцев на хост для их сопоставления, они не могут помешать вредоносному датчику имитировать взаимодействие легитимного датчика с хостом. Это может привести к ложному подтверждению успешной аутентификации, а также повторному воспроизведению ранее наблюдавшегося трафика между хостом и датчиком.
Для противодействия подобным атакам компания Microsoft разработала протокол Secure Device Connection Protocol (SDCP), который призван гарантировать, что устройство для сканирования отпечатков пальцев является доверенным и исправным, а входящий трафик между ним и хостом защищен на целевых устройствах.
Несмотря на это, исследователи успешно обошли аутентификацию Windows Hello с помощью man-in-the-middle атаки на всех изученных ноутбуках, используя для этого кастомную Raspberry Pi 4, работающую под управлением Linux.
В процессе атаки исследователи использовали реверс-инжиниринг, обнаружили ошибки в кастомной имплементации протокола TLS, разработанной компанией Synaptics, расшифровали и переделали проприетарные протоколы.
На ноутбуках Dell и Lenovo обход аутентификации осуществлялся путем составления списка действительных ID и регистрации отпечатка пальца злоумышленника с использованием ID легитимного пользователя Windows (сенсор Synaptics использовал кастомный стек TLS вместо SDCP для защиты USB-соединения).
Для устройства Surface, чей датчик отпечатков пальцев ELAN не имел защиты SDCP, использовал открытое USB-соединение и не имел аутентификации, специалисты имитировали датчик отпечатков, отключив Type Cover и подключив к машине USB-устройство, которое имитировало датчик отпечатков пальцев и сообщало системе, что авторизованный пользователь входит в систему.
«Microsoft проделала отличную работу по разработке SDCP для обеспечения безопасного канала между хостом и биометрическими устройствами, но, к сожалению, производители устройств, похоже, не понимают некоторых поставленных задач», — говорят исследователи.
Обнаружив, что протокол SDCP даже не был включен на двух из трех изученных ноутбуков, Blackwing Intelligence рекомендовала производителям решений для биометрической аутентификации убедиться в том, что SDCP включен, поскольку он не сможет предотвратить атаку, если не работает.
С заботой о вашей безопасности, команда Origin Security
