Een securityexpert heeft opnieuw een potentiële zwakte in de beveiliging van Windows Recall blootgelegd. Volgens Microsoft is er niets aan de hand.
De Windows Recall-functie heeft er al een lange calvarietocht opzitten. Sinds de aankondiging van de functie twee jaar geleden ligt Recall onder vuur. De storm was een tijdje gaan liggen, maar beveiligingsonderzoeker Alexander Hagenah steekt het vuur weer aan de lont. Via GitHub deelt hij hoe de door Microsoft geïmplementeerde beveiliging van Recall omzeild kan worden.
De expert is daarmee niet aan zijn proefstuk toe. Twee jaar geleden ontwikkelde hij al eens een tool TotallRecall om kwetsbaarheden in Recall bloot te leggen. Nu herhaalt hij zijn kunststukje met TotallRecall Reloaded. Volgens Hagenah zit de zwakte deze keer niet in de ‘kluis’, maar in de ‘bestelwagen’. Microsoft ontkent dat er problemen zijn met Recall.
Moeizame lancering
We keren eerst terug naar de lente van 2024: Microsoft kondigt Recall aan tijdens zijn Build-conferentie. Recall is een functie die op regelmatige tijdstippen screenshots maakt van wat er op je pc gebeurt en die lokaal opslaat. Zo kan je snel specifieke informatie terugvinden, luidde het verkooppraatje van Microsoft. De functie maakt gebruik van de lokale NPU en is dus exclusief voor Copilot+-pc’s, wat Recall meteen ook het uithangbord van Microsofts marketinglabel maakte.
De aankondiging van Recall werd zeer koel onthaald. PC-gebruikers vonden het maar niets dat iedere muisklik en toetsaanslag werden geregistreerd. Het duurde ook niet lang of beveiligingsexperten problemen met Recall zagen. Eerst was Microsoft vergeten aan beveiliging te denken waardoor iedereen met toegang tot je pc zonder moeite aan je Recall-screenshots en eventuele gevoelige informatie zou kunnen.
Microsoft moest terug naar de tekentafel. Extra beveiligingsmaatregelen zoals opt-in, authenticatie met Windows Hello, VBS-enclaves en encryptie op niveau van de TPM-chip, verplicht voor iedere Windows 11-pc, moesten de kritiek doen uitdoven. De Recall-functie werd vanaf 2025 naar alle compatibele toestellen uitgerold. Vorig jaar ging onze redactie er al eens mee aan de slag.
Onbeschermde bestelwagen
Eind goed, al goed voor Recall? Toch niet helemaal. Hagenah heeft een nieuwe zwakke schakel in Recall gevonden. Hoewel de onderzoeker erkent dat de ‘kluis’ van Recall niet te kraken is, kan de ‘bestelwagen’ wel nog steeds overvallen worden. De bestelwagen waar Hagenah het over heeft, is een onbeveiligd AIXHost.exe-proces dat screenshots, tekst en metadata vervoert.
Het proces komt in actie nadat de gebruiker zich met Windows Hello verifieert bij Recall. Dit specifieke moment in de keten blijkt Microsoft over het hoofd te hebben gezien. Daardoor kan elke applicatie die draait onder dezelfde aangemelde gebruiker er code in injecteren. De standaard Windows-rechten laten processen van dezelfde gebruiker immers verregaande toegang tot elkaar hebben. Recall-gegevens kunnen hierdoor voor het grijpen liggen.
De onderzoeker benadrukt dat deze methode geen kraak van Windows Hello of Recall-versleuteling vereist. De aanvaller zou gewoon moeten wachten tot je je op de normale manier aanmeldt bij Recall, en op het juiste moment meeliften op de legitieme processen om data op te halen.
Maar hij ontdekte ook een manier om zonder authorisatie Recall-screenshots in volle resolutie op te vragen en metadata te lezen. Hij beschrijft ook een bypass voor het intrekken van datatoegang door toegangsrechten te herconfigureren. Zo kan data-extractie ongemerkt verderlopen, ook nadata de gebruiker Recall heeft afgesloten.
De kluis van Recall is van titanium, maar de bestelwagen moet zonder beveiliging rijden
Alexander Hagenah, beveiligingsonderzoeker
Geen probleem volgens Microsoft
Hagenah deelde zijn bevindingen eerst met Microsoft alvorens ze publiek op GitHub te maken. Bij de softwarereus kreeg hij echter geen gehoor. Het antwoord van Microsoft luidt dat de beveiliging van Recall werkt zoals bedoeld, en dat er geen sprake is van een beveiligingslek. Microsoft zal dan ook geen patches uitsturen.
Het onderzoek zal op zijn minst de discussie met Recall weer doen opwaaien. De functie heeft toegang tot gevoelige informatie op je pc, zoals bestanden, e-mails, maar bijvoorbeeld ook wachtwoorden en bankgegevens die je ergens intypt. Wil je Recall gebruiken, denk dan goed na over tot welke applicaties je de tool toegang wil geven. Je pc hoeft niet álles te zien en te onthouden.