باحثون في شركة أمنية مختبرات سايبر آرك اكتشف ثغرة أمنية في نظام التعرف على الوجه Windows Hello من Microsoft ويندوز 10 و ويندوز 11. يطلق الباحثون على هذا الأمر اسم "عيب في التصميم"، ويقولون إن المتسللين يمكنهم الالتفاف حول Windows Hello باستخدام نوع معين من الأجهزة للوصول في النهاية إلى جهاز الكمبيوتر الخاص بك.
على الرغم من أنه ليس شيئًا يمكن إنجازه بسهولة (وتقول Microsoft إنها خففت من الثغرة الأمنية)، إلا أن هناك مجموعة محددة جدًا من الشروط التي يمكن أن تؤدي إلى التجاوز. في جميع الحالات، سيحتاج المتسللون إلى التقاط صورة بالأشعة تحت الحمراء لوجه الضحية، والوصول الفعلي إلى جهاز الكمبيوتر الخاص بالضحية، وكذلك استخدام جهاز USB مخصص يمكنه انتحال صفة الكاميرا. تصف CyberArk Labs العملية المكونة من ستة أجزاء على موقعها الإلكتروني، مع مقطع فيديو يوضح إثبات المفهوم.
وفقًا للشركة، كل هذا ممكن لأن Windows Hello لن يقوم بمعالجة إطارات كاميرا الأشعة تحت الحمراء إلا عند محاولة مصادقة المستخدم. "يحتاج المرء إلى تنفيذ كاميرا USB تدعم كاميرات RGB وIR. وقال عمر تسارفاتي من CyberArk: "يحتاج جهاز USB هذا فقط إلى إرسال إطارات IR حقيقية للضحية لتجاوز مرحلة تسجيل الدخول، في حين أن إطارات RGB يمكن أن تحتوي على أي شيء".
متعلق ب
- مشاكل ويندوز 11 الشائعة وكيفية حلها
- Windows 11 على وشك جعل استخدام الأجهزة الطرفية RGB أسهل
- تثير Microsoft عملية إصلاح شاملة لتصميم تطبيق Windows 11 الرئيسي
لا يوجد حاليًا أي دليل على أن هذه الثغرة الأمنية قد تم استخدامها بشكل نشط، لكن CyberArk Labs تحذر من ذلك يمكن لأي شخص يتمتع بالمهارات المناسبة استخدام هذا لاستهداف الصحفيين وغيرهم ممن لديهم محتوى حساس الأجهزة. من المهم أيضًا ملاحظة أن البحث تم إجراؤه على Windows Hello for Business وليس على إصدار Windows Hello للمستهلك. ومع ذلك، لا تزال هناك فرصة لتطبيق هذه الثغرة الأمنية على أنظمة الأمان الأخرى حيث يتم استخدام كاميرا USB تابعة لجهة خارجية كمستشعر للقياسات الحيوية.
مقاطع الفيديو الموصى بها
أرسلت مختبرات CyberArk هذه الثغرة الأمنية إلى Microsoft مرة أخرى في 23 مارس 2021. اعترفت Microsoft بهذه المشكلة بعد يوم واحد. قامت Microsoft منذ ذلك الحين بتعيين CVE لهذه المشكلة، ومشاركة التخفيف عبر تحديث أمني في 13 يوليو.
وفقًا لمايكروسوفت، فقد خفف هذا التصحيح من المشكلة ويمكن لـ Windows Hello Enhanced Sign-in Security الحماية من مثل هذه الهجمات. ومع ذلك، تشير CyberArk إلى أن التخفيف يعتمد على وجود أجهزة مزودة بكاميرات محددة "إن الثقة الضمنية في المدخلات من الأجهزة الطرفية تظل متأصلة في تصميم النظام." التحقيق لا يزال جاري التنفيذ.
توصيات المحررين
- ترتيب جميع إصدارات Windows الـ 12، من الأسوأ إلى الأفضل
- يمكن لـ ChatGPT الآن إنشاء مفاتيح Windows 11 العاملة مجانًا
- يأخذ تطبيق Windows 11 Backup الجديد إشارة أخرى من جهاز Mac
- يقوم Windows Copilot بوضع Bing Chat في كل كمبيوتر يعمل بنظام Windows 11
- لقد اكتسب Windows 11 للتو أحد الأسباب الرئيسية لشراء جهاز Mac
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.
