I CyberArk Labs hanno pubblicato una nuova ricerca su una vulnerabilità presente in Windows Hello che consente all’hacker di bypassare il riconoscimento facciale per l’autenticazione sul dispositivo della vittima. Alla vulnerabilità è stato assegnato un CVE (5.7) ed è stata inclusa nella release delle patch del martedì di Microsoft.
Secondo Microsoft, l’85% degli utenti di Windows 10 utilizza Windows Hello per l’autenticazione senza password. Il team di ricerca di CyberArk ha identificato un modo per manipolare il meccanismo di riconoscimento facciale che Windows Hello utilizza tramite una fotocamera USB esterna e una foto della vittima. Se i ricercatori si sono concentrati su Windows Hello, la loro scoperta può avere implicazioni per qualsiasi sistema di autenticazione che permette ad una fotocamera USB di terze parti di agire come sensore biometrico.
Come evidenzia la ricerca, questo tipo di attacco è particolarmente rilevante per uno spionaggio mirato – dove l’obiettivo è noto e l’accesso fisico a un dispositivo è necessario (questo sarebbe un attacco altamente efficace su un ricercatore, scienziato, giornalista, attivista o qualcun altro che detenga IP sul proprio dispositivo).
Caratteristica principale di Windows Hello, l’autenticazione biometrica sta registrando una rapida adozione presso tutte le realtà, dato che le organizzazioni cercano via via di adottare soluzioni passwordless per aiutare a mitigare i numerosi rischi di sicurezza inerenti all’uso non sempre corretto delle password.
Il sensore biometrico può però essere l’anello debole della catena, esponendo potenzialmente il sistema ad attacchi legati alla manipolazione dei dati sul dispositivo dell’obiettivo. Se il sistema operativo, in particolare Windows Hello, prende la sua decisione di autenticazione sulla base delle informazioni trasmesse da un sensore, la manipolazione di queste informazioni può portare ad un potenziale bypass dell’intero sistema di autenticazione.
I dati raccolti provengono da una sola fonte: il sensore biometrico. L’input raccolto da questo sensore viene sottoposto a un’analisi biometrica, confrontando i dati con quelli precedentemente memorizzati, e dopo di che, il risultato dell’analisi viene inviato al sistema di autenticazione.
Nel caso di un riconoscimento facciale, il sensore biometrico è una telecamera incorporata nel dispositivo, come nei computer portatili, o collegato al computer, nella maggior parte dei casi via USB.
Il flusso di autenticazione di tutto il sistema si basa sull’input proveniente dalla telecamera, cosa che può creare una vulnerabilità.
La telecamera essenzialmente invia al rispettivo sistema operativo il fotogramma che riceve dai suoi sensori, che contiene una persona di fronte alla telecamera. Poi, questi stessi fotogrammi vengono esaminati attraverso l’analisi biometrica e confrontati con il set di dati predefinito situato nel disco rigido del computer. Se i dati ricevuti dal sensore corrispondono a quelli registrati, allora il sistema operativo consente l’accesso.
Invece di usare qualcosa che solo l’utente conosce, il riconoscimento facciale prende informazioni “pubbliche” (la faccia della potenziale vittima) per concedere l’accesso nel sistema. Sfruttare il riconoscimento facciale per ottenere un accesso illecito è in sostanza un processo del tutto simile al furto di una password, ma molto più accessibile poiché i dati (il volto) sono già pubblici.
La nostra ricerca ha delineato una interessante strategia d’attacco: catturare l’immagine di una vittima, salvare i fotogrammi catturati, impersonare un dispositivo fotocamera USB, e infine inviare quei fotogrammi al sistema per la verifica. Il cuore di questa vulnerabilità sta nel fatto che Windows Hello considera attendibili fonti di dati esterne, che possono in qualche modo essere manipolate.
“Sulla base dei nostri test preliminari di mitigazione, l’utilizzo di Enhanced Sign-in Security con un hardware compatibile limita la superficie di attacco, ma è legato al fatto che gli utenti dispongano di telecamere specifiche. Per mitigare questo problema di fiducia intrinseca in modo più completo, l’host dovrebbe verificare e convalidare l’integrità del dispositivo di autenticazione biometrica prima di fidarsi di esso” Ha commentato Omer Tsarfati, Security Researcher, CyberArk Labs.