Beveiligingsonderzoekers ontdekten een kwetsbaarheid in de authenticatie via Windows Hello. Gewapend met een geschikte foto konden ze inloggen op een Windows-systeem.
Onderzoekers van beveiligingsfirma CyberArk zijn er in geslaagd de biometrische authenticatie van Windows Hello te verschalken. Zo vonden een manier om met een foto in te loggen op een systeem. Het probleem kreeg de noemer CVE-2021-34466 mee en werd intussen via een patch door Microsoft opgelost.
Windows Hello gebruikt relatief geavanceerde webcams om gebruikers via hun gezicht toegang te geven tot hun toestel. Daarbij moet de webcam niet alleen een klassieke RGB-sensor hebben, maar ook een infraroodcamera bevatten. Die IR-sensor zorgt er in theorie voor dat aanvallers het systeem niet zomaar in de luren kunnen leggen.
Zwakste schakel
De beveiligingsonderzoekers bekeken de hele authenticatieketen en definieerden een zwakke plek. Windows Hello haalt de beelden voor de identificatie van de camera, en kijkt vervolgens of de persoon achter de webcam de juiste is. Een foto voor de webcam houden heeft mede dankzij de IR-sensor geen zin.
De onderzoekers ontdekten dat ze in de plaats daarvan een aangepaste USB-webcam konden misbruiken. Die webcam levert geen livebeelden aan, maar vooraf geïnjecteerde foto’s. Concreet gaat het om twee frames: een IR-beeld en een volledig zwarte prent. Die laatste volstaat om de RGB-sensor te misleiden, aangezien die geen echte rol speelt bij de authenticatie.
Windows Hello op de computer vertrouwt de USB-webcam, krijgt zoals verwacht een IR-frame binnen en vergelijkt dat frame met de gekende biometrische informatie. Komt het overeen, dan ontgrendelt Hello de laptop.
Moeilijk misbruik
Het is gelukkig niet eenvoudig om de kwetsbaarheid uit te buiten. Een hacker moet zowel fysieke toegang hebben tot de laptop, als een IR-foto van zijn doelwit bemachtigen. Dat is niet ondenkbaar, maar vereist al een erg gemotiveerde aanvaller die het op een specifiek doelwit heeft gemunt.
CyberArk contacteerde Microsoft zodat er intussen een patch beschikbaar is. Het fundamentele probleem waarbij Windows Hello randapparatuur vertrouwt, blijft wel en is ook moeilijk op te lossen. Het is dus niet ondenkbaar dat er in de toekomst nog gelijkaardige kwetsbaarheden aan het licht zullen komen.