Исследователи охранной фирмы КиберАрк Лаборатории обнаружили уязвимость в системе распознавания лиц Windows Hello от Microsoft. Windows 10 и Windows 11. Назвав это «недостатком дизайна», исследователи говорят, что хакеры могут обойти Windows Hello, используя определенный тип оборудования, чтобы в конечном итоге получить доступ к вашему компьютеру.
Хотя это не совсем то, что легко осуществить (и Microsoft заявляет, что смягчила уязвимость), существует очень специфический набор условий, которые могут привести к обходу. В любом случае хакерам потребуется сделать ИК-изображение лица жертвы, иметь физический доступ к компьютеру жертвы, а также использовать специальное USB-устройство, которое может выдавать себя за камеру. CyberArk Labs описывает на своем веб-сайте процесс, состоящий из шести частей, с видео, показывающим подтверждение концепции.
По мнению компании, все это возможно, поскольку Windows Hello будет обрабатывать только кадры ИК-камеры при попытке аутентификации пользователя. «Необходимо реализовать USB-камеру с поддержкой RGB и ИК-камер. Затем этому USB-устройству нужно только отправить подлинные ИК-кадры жертвы, чтобы обойти фазу входа в систему, в то время как кадры RGB могут содержать что угодно», — сказал Омер Царфати из CyberArk.
Связанный
- Распространенные проблемы Windows 11 и способы их устранения
- Windows 11 сделает использование периферийных устройств RGB намного проще
- Microsoft намекает на пересмотр дизайна основного приложения для Windows 11
На данный момент нет доказательств того, что эта уязвимость активно использовалась, но CyberArk Labs предупреждает, что кто-то с необходимыми навыками может использовать это для нацеливания на журналистов и других лиц с конфиденциальным контентом на своих сайтах. устройства. Также важно отметить, что исследование проводилось на Windows Hello для бизнеса, а не на потребительской версии Windows Hello. Однако по-прежнему существует вероятность того, что эта уязвимость может применяться к другим системам безопасности, где в качестве биометрического датчика используется сторонняя USB-камера.
Рекомендуемые видео
Лаборатории CyberArk сообщили об этой уязвимости в Microsoft еще 23 марта 2021 года. Microsoft признала эту проблему днем позже. С тех пор Microsoft присвоила этой проблеме CVE, поделившись мерами по ее устранению в обновлении безопасности от 13 июля.
По словам Microsoft, этот патч устранил проблему, а улучшенная безопасность входа в систему Windows Hello может защитить от таких атак. CyberArk, однако, отмечает, что смягчение последствий зависит от наличия устройств с конкретными камерами, а также от «При проектировании системы сохраняется неявное доверие к входным данным от периферийных устройств». Расследование все еще продолжается непрерывный.
Рекомендации редакции
- Рейтинг всех 12 версий Windows, от худшей к лучшей
- ChatGPT теперь может бесплатно генерировать рабочие ключи Windows 11
- Новое приложение для резервного копирования Windows 11 берет еще один пример с Mac
- Windows Copilot размещает Bing Chat на каждом компьютере с Windows 11
- Windows 11 только что получила одну из основных причин купить Mac
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.
