Nieuw onderzoek heeft meerdere kwetsbaarheden aan het licht gebracht die kunnen worden misbruikt om Windows Hello-authenticatie op Dell Inspiron 15, Lenovo ThinkPad T14 en Microsoft Surface Pro X-laptops te omzeilen.
De gebreken werden ontdekt door onderzoekers van hardware- en softwareproductbeveiliging en offensief onderzoeksbureau Blackwing Intelligence, die de zwakke punten ontdekten in de vingerafdruksensoren van Goodix, Synaptics en ELAN die in de apparaten zijn ingebed.
Een voorwaarde voor misbruik van vingerafdruklezers is dat de gebruikers van de beoogde laptops al vingerafdrukverificatie hebben ingesteld.
Alle vingerafdruksensoren zijn van het type sensor genaamd “match on chip” (MoC), die de matching- en andere biometrische beheerfuncties rechtstreeks in het geïntegreerde circuit van de sensor integreert.
“Hoewel MoC verhindert dat opgeslagen vingerafdrukgegevens voor matching naar de host worden afgespeeld, verhindert het op zichzelf niet dat een kwaadaardige sensor de communicatie van een legitieme sensor met de host vervalst en ten onrechte beweert dat een geautoriseerde gebruiker zich met succes heeft geauthenticeerd”, aldus onderzoekers Jesse D’ Zeiden Aguanno en Timo Teräs.
De MoC verhindert ook niet dat eerder opgenomen verkeer tussen de host en de sensor opnieuw wordt afgespeeld.
Hoewel het door Microsoft gecreëerde Secure Device Connection Protocol (SDCP) een aantal van deze problemen wil verlichten door een end-to-end beveiligd kanaal te creëren, ontdekten de onderzoekers een nieuwe methode die gebruikt zou kunnen worden om deze beveiligingen te omzeilen en tegenstanders in de val te lokken. the-middle-aanvallen (AitM).
Concreet bleek de ELAN-sensor kwetsbaar te zijn voor een combinatie van sensorspoofing als gevolg van het gebrek aan SDCP-ondersteuning en de overdracht van beveiligingsidentificaties (SID’s) in heldere tekst, waardoor elk USB-apparaat zich kon voordoen als de vingerafdruksensor en kon beweren dat een geautoriseerde gebruiker is aan het inloggen.
In het geval van Synaptics werd niet alleen ontdekt dat SDCP standaard was uitgeschakeld, maar koos de implementatie ervoor om te vertrouwen op een gebrekkige aangepaste Transport Layer Security (TLS)-stack om de USB-communicatie tussen het hoststuurprogramma en de sensor te beveiligen, die als wapen kon worden gebruikt om deze te omzeilen. biometrische authenticatie.
De exploitatie van de Goodix-sensor daarentegen profiteert van een fundamenteel verschil in inschrijvingsoperaties die worden uitgevoerd op een machine die is geladen met zowel Windows als Linux, waarbij wordt geprofiteerd van het feit dat laatstgenoemde SDCP niet ondersteunt om de volgende acties uit te voeren:
- Opstarten naar Linux
- Inventariseer geldige ID’s
- Registreer de vingerafdruk van de aanvaller met dezelfde ID als een legitieme Windows-gebruiker
- Zorg voor de verbinding tussen de host en de sensor door gebruik te maken van de cleartext USB-communicatie
- Opstarten naar Windows
- Onderschep en herschrijf het configuratiepakket zodat het naar de Linux DB verwijst met behulp van onze MitM
- Meld u aan als de legitieme gebruiker met de afdruk van de aanvaller
Het is de moeite waard erop te wijzen dat, hoewel de Goodix-sensor afzonderlijke vingerafdruksjabloondatabases heeft voor Windows- en niet-Windows-systemen, de aanval mogelijk is vanwege het feit dat het hoststuurprogramma een niet-geauthenticeerd configuratiepakket naar de sensor stuurt om aan te geven welke database moet worden gebruikt tijdens de sensorprocedure. initialisatie.
Om dergelijke aanvallen te beperken, wordt aanbevolen dat Original Equipment Manufacturers (OEM’s) SDCP inschakelen en ervoor zorgen dat de implementatie van de vingerafdruksensor wordt gecontroleerd door onafhankelijke gekwalificeerde experts.
Dit is niet de eerste keer dat op biometrie gebaseerde authenticatie van Windows Hello met succes wordt verslagen. In juli 2021 bracht Microsoft patches uit voor een middelzware beveiligingsfout (CVE-2021-34466, CVSS-score: 6,1) waarmee een tegenstander het gezicht van een doelwit kon vervalsen en het inlogscherm kon omzeilen.
“Microsoft heeft SDCP goed ontworpen om een veilig kanaal te bieden tussen de host en biometrische apparaten, maar helaas lijken apparaatfabrikanten sommige doelstellingen verkeerd te begrijpen”, aldus de onderzoekers.
“Bovendien dekt SDCP slechts een zeer beperkt bereik van de werking van een typisch apparaat, terwijl de meeste apparaten een aanzienlijk aanvalsoppervlak hebben dat helemaal niet door SDCP wordt gedekt.”