Dolda fel i Windows bärbara och stationära datorer möjliggör obehörig inloggning (identitetsstöld)

En ny rapport från ERNW, ett tyskt säkerhetsforskningsföretag, har beskrivit en sårbarhet inom Windows Hello for Business - Microsofts lösenordslösa autentiseringssystem. Forskningen, som ingår i ett projekt som finansieras av Tysklands Federal Office for Information Security (BSI), visar hur angripare med tidigare tillgång till en enhet kan utnyttja systemets design för att begå en form av identitetsstöld.

Denna attack, kallad "The Face Swap", utnyttjar hur Windows Hello hanterar biometriska data - istället för att använda en användares biometri för direkt autentisering använder systemet den för att låsa upp en kryptografisk nyckel som lagras på systemet. ERNW-forskare fann att en angripare med administrativa behörigheter kan komma åt och manipulera databasen som länkar en användares identitet till deras lagrade biometriska mall.

I en proof-of-concept-attack lyckades forskarna byta ut identifierarna mellan två registrerade användare. Bytet lurade systemet helt; en angripare kunde sitta framför datorns kamera, och Windows Hello skulle använda sitt ansikte för att ge dem tillgång till offrets konto, inklusive alla deras företagsnätverksresurser, filer och data.

Enkelt uttryckt innebär säkerhetsbristen att vem som helst med ett administrativt konto på en Windows-dator (med Windows Hello) med flera användarprofiler kan stjäla identiteten på andra användare i systemet.

ERNW säger sig ha informerat Microsoft om sina upptäckter men misstänker att en grundläggande lösning är osannolik, eftersom det skulle kräva en översyn av systemets arkitektur. I en separat incident rapporterade ERNW ett kritiskt fel i Linux-system som gav angripare full tillgång till dessa system till dessa system för ungefär två veckor sedan.