.
Hackers de segurança de hardware detalharam como é possível ignorar a autenticação de impressão digital do Windows Hello e fazer login como outra pessoa – se você puder roubar ou ficar sozinho com seu dispositivo vulnerável.
A pesquisa foi realizada pela Blackwing Intelligence, principalmente Jesse D’Aguanno e Timo Teräs, e foi encomendada e patrocinada pelo grupo de Pesquisa Ofensiva e Engenharia de Segurança da Microsoft. As descobertas da dupla foram apresentadas na conferência BlueHat da gigante de TI no mês passado e tornadas públicas esta semana. Você pode assistir à palestra da dupla abaixo ou mergulhar nos detalhes em seu artigo aqui.
Para usuários e administradores: estejam cientes de que o hardware do seu laptop pode ser fisicamente inseguro e permitir que a autenticação de impressão digital seja ignorada se o equipamento cair em mãos erradas. Não temos certeza de como isso pode ser corrigido sem substituir os componentes eletrônicos ou talvez atualizar os drivers e/ou firmware dos sensores de impressão digital. Um dos pesquisadores nos disse: “No meu entender, a Microsoft entende que os problemas foram resolvidos pelos fornecedores”. Portanto, verifique se há atualizações ou erratas. Pedimos comentários aos fabricantes mencionados abaixo e manteremos vocês atualizados.
Para fabricantes de dispositivos: verifique o relatório acima para ter certeza de que você não está incorporando essas falhas de design em seus produtos. Ah, e responda nossos e-mails.
Vídeo do youtube
A pesquisa se concentra em contornar a autenticação de impressão digital do Windows Hello em três laptops: um Dell Inspiron 15, um Lenovo ThinkPad T14 e um Microsoft Surface Pro 8/X, que usavam sensores de impressão digital da Goodix, Synaptics e ELAN, respectivamente. Todos os três eram vulneráveis de maneiras diferentes. Pelo que sabemos, isso não é tanto um problema com o Windows Hello ou com o uso de impressões digitais. É mais devido a deficiências ou descuidos nas comunicações entre o lado do software e o hardware.
O Windows Hello permite que os usuários façam login no sistema operacional usando sua impressão digital. Esta impressão digital é armazenada no chipset do sensor. O que deveria acontecer, simplesmente, é que quando você deseja configurar seu laptop para usar sua impressão, o sistema operacional gera um ID e o passa para o chip do sensor. O chip lê a impressão digital do usuário e armazena a impressão internamente, associando-a ao número de identificação. O sistema operacional vincula esse ID à sua conta de usuário.
Então, quando você faz o login, o sistema operacional pede que você apresente seu dedo, o sensor lê e, se corresponder a uma impressão conhecida, o chip envia o ID correspondente ao sistema operacional, que então lhe concede acesso à conta conectada a esse número de identificação. A comunicação física entre o chip e o sistema operacional envolve criptografia para, idealmente, proteger esse método de autenticação contra invasores.
Mas erros na implementação deste sistema deixaram pelo menos os dispositivos mencionados acima vulneráveis ao desbloqueio – desde que seja possível prender o equipamento por tempo suficiente para conectar alguns componentes eletrônicos.
“Ao todo, essa pesquisa levou aproximadamente três meses e resultou em três desvios 100% confiáveis da autenticação do Windows Hello”, escreveram D’Aguanno e Teräs da Blackwing na terça-feira.
Aqui está um resumo das técnicas usadas e descritas pelo par infosec:
-
- Modelo: DellInspiron 15
-
Método: Se alguém puder inicializar o laptop no Linux, poderá usar o driver Linux do sensor para enumerar do chip do sensor os números de identificação associados às impressões digitais conhecidas. Esse malfeitor pode então armazenar no chip sua própria impressão digital com um número de identificação idêntico ao número de identificação do usuário do Windows com o qual deseja fazer login. O chip armazena esta nova associação de ID de impressão em um banco de dados interno associado ao Linux; ele não substitui a associação de ID de impressão existente em seu banco de dados interno para Windows.
O invasor então conecta um dispositivo man-in-the-middle (MITM) entre o laptop e o sensor e inicializa no Windows. O sistema operacional Microsoft envia alguns dados de configuração não autenticados para o chip. Crucialmente, a eletrônica do MITM reescreve esses dados de configuração dinamicamente para dizer ao chip para usar o banco de dados do Linux, e não o banco de dados do Windows, para impressões digitais. Assim, quando o criminoso tocar o leitor com o dedo, o chip reconhecerá a impressão, retornará o número de identificação dessa impressão do banco de dados Linux, que é o mesmo número de identificação associado a um usuário do Windows, e o Windows registrará o invasor no como esse usuário.
-
- Modelo: Lenovo ThinkPad T14
- Método: O ataque usado contra o ThinkPad é semelhante ao acima. Enquanto a máquina Dell usa o Secure Device Connection Protocol (SDCP) da Microsoft entre o sistema operacional e o chip, o T14 usa TLS para proteger a conexão. Isso pode ser prejudicado novamente, usando o Linux, adicionar uma impressão digital com um ID associado a um usuário do Windows e, uma vez inicializado novamente no Windows, fazer login como esse usuário usando a nova impressão digital.
-
- Modelo: Capa tipo Microsoft Surface Pro 8 / X com identificação de impressão digital
- Método: Este é o pior. Não há nenhuma segurança entre o chip e o sistema operacional, então o sensor pode ser substituído por qualquer coisa que possa se disfarçar como o chip e simplesmente enviar uma mensagem para o Windows dizendo: Sim, faça login nesse usuário. Assim, um invasor pode fazer login sem sequer apresentar uma impressão digital.
Curiosamente, D’Aguanno nos disse que não é necessário reiniciar o PC com Linux para exploração – um dispositivo MITM pode fazer a análise necessária e registrar uma impressão digital enquanto o computador ainda está ligado – evitando assim a inicialização de sistemas operacionais não-Windows. sistemas, por exemplo, não serão suficientes para deter um ladrão. O equipamento pode ser enganado enquanto ainda está em funcionamento.
“Na verdade, a inicialização no Linux não é necessária para nenhum de nossos ataques”, disse-nos D’Aguanno. “No Dell (Goodix) e no ThinkPad (Synaptics), podemos simplesmente desconectar o sensor de impressão digital e conectá-lo ao nosso próprio equipamento para atacar os sensores. pode ser conectado a quente.”
Nesse cenário, “o Bitlocker não afetaria o ataque”, acrescentou.
Quanto ao que acontece se a máquina roubada estiver completamente desligada e tiver uma senha de BIOS, criptografia de disco completo ou alguma outra autenticação pré-inicialização, a exploração não é tão simples ou talvez até possível: você precisaria obter a máquina inicializou o suficiente no Windows para que o desvio de impressão digital da equipe Blackwing funcionasse. As técnicas descritas podem funcionar em BIOS que verificam impressões digitais para prosseguir com a sequência de inicialização.
“Se for necessária uma senha para inicializar a máquina e a máquina estiver desligada, isso pode impedir isso apenas pela natureza da máquina não inicializar até o ponto em que a autenticação por impressão digital está disponível”, esclareceu D’Aguanno.
“No entanto, pelo menos uma das implementações também permite que você use autenticação de impressão digital para autenticação de inicialização do BIOS. Nosso foco estava no impacto no Windows Hello, portanto, não investigamos isso mais detalhadamente neste momento, mas isso pode ser possível para ser explorado também.”
A dupla também pediu aos fabricantes que usassem SDCP e habilitassem a conexão de chips sensores ao Windows: “Não ajuda se não estiver ligado”.
Eles também prometeram fornecer mais detalhes sobre as vulnerabilidades que explorariam em todos os três alvos no futuro e foram obviamente cautelosos ao fornecer muitos detalhes que poderiam ser usados para quebrar o kit. ®
Este artigo foi atualizado após a publicação para incorporar mais comentários da Blackwing Intelligence.
.
