Windows Hello cho phép người dùng xác thực bằng sinh trắc học hoặc mã PIN mà không cần đến mật khẩu. Xác thực sinh trắc học sử dụng nhận dạng khuôn mặt hoặc dấu vân tay để chứng minh danh tính của người dùng theo cách an toàn, cá nhân và thuận tiện. Tuy nhiên, lỗ hổng mới đây được Blackwing Intelligence phát hiện có thể vượt qua Windows Hello trên một số máy tính xách tay, bao gồm cả Microsoft Surface.
Tất cả các cảm biến vân tay hỗ trợ Windows Hello đã được thử nghiệm đều sử dụng phần cứng dựa trên chip, có nghĩa việc xác thực được xử lý trên chính cảm biến có chip và bộ lưu trữ riêng.
Điều kiện tiên quyết để khai thác lỗ hổng này là mục tiêu, tức người dùng máy tính xách tay đã thiết lập xác thực dấu vân tay. Tất cả các cảm biến vân tay là một loại cảm biến được gọi là “match on chip” (MoC), tích hợp các chức năng quản lý sinh trắc học và đối sánh trực tiếp vào mạch tích hợp của cảm biến.
Hai nhà nghiên cứu Jesse D'Aguanno và Timo Teras cho biết: “Mặc dù MoC ngăn chặn việc phát lại dữ liệu dấu vân tay được lưu trữ trên máy chủ để so sánh, nhưng bản thân nó không ngăn được cảm biến độc hại giả mạo giao tiếp của cảm biến hợp pháp với máy chủ và cho rằng người dùng được ủy quyền đã xác thực thành công”.
MoC cũng không ngăn chặn việc phát lại lưu lượng đã ghi trước đó giữa máy chủ và cảm biến. Mặc dù giao thức kết nối thiết bị an toàn (SDCP) do Microsoft tạo ra nhằm mục đích giảm nguy cơ mất an toàn này bằng cách tạo kênh bảo mật đầu cuối, tuy nhiên các nhà nghiên cứu đã phát hiện ra một phương pháp mới có thể được sử dụng để phá vỡ các biện pháp bảo vệ này và có thể thực hiện cuộc tấn công xen giữa (MiTM).
Cụ thể, cảm biến ELAN được phát hiện là dễ bị tổn thương trước sự kết hợp của việc giả mạo cảm biến xuất phát từ việc thiếu hỗ trợ SDCP và truyền văn bản rõ của số nhận dạng bảo mật (SID), do đó cho phép bất kỳ thiết bị USB nào giả dạng cảm biến vân tay và tuyên bố rằng người dùng được ủy quyền đang đăng nhập.
Trong trường hợp của Synaptics, SDCP không chỉ bị phát hiện bị tắt theo mặc định mà việc triển khai còn chọn giao thức TLS để bảo mật kênh liên lạc USB giữa trình điều khiển máy chủ và cảm biến có thể được vũ khí hóa để vượt qua xác thực sinh trắc học.
Mặt khác, việc khai thác cảm biến Goodix tận dụng sự khác biệt cơ bản trong hoạt động đăng ký được thực hiện trên máy tính Windows và Linux, lợi dụng thực tế là các máy tính này không hỗ trợ SDCP để thực hiện các hành động sau:
- Khởi động hệ điều hành Linux và Windows.
- Liệt kê các ID hợp lệ.
- Đăng ký dấu vân tay của kẻ tấn công bằng cùng ID với người dùng Windows hợp pháp.
- Tấn công MiTM kết nối giữa máy chủ và cảm biến bằng cách tận dụng giao tiếp USB văn bản rõ ràng.
- Đăng nhập với tư cách là người dùng hợp pháp với dấu vân tay của kẻ tấn công.
Để giảm thiểu các cuộc tấn công như vậy, các nhà sản xuất thiết bị gốc (OEM) nên kích hoạt SDCP và đảm bảo rằng việc triển khai cảm biến vân tay được kiểm tra bởi các chuyên gia độc lập có chuyên môn cao.
Đây không phải là lần đầu tiên xác thực dựa trên sinh trắc học Windows Hello bị tấn công thành công. Vào tháng 7/2021, Microsoft đã phát hành các bản vá cho một lỗ hổng bảo mật ở mức độ nghiêm trọng trung bình (CVE-2021-34466, điểm CVSS: 6.1) có thể cho phép kẻ tấn công giả mạo khuôn mặt của mục tiêu và chiếm được màn hình đăng nhập.
Các nhà nghiên cứu cho biết: “Microsoft đã làm rất tốt khi thiết kế SDCP để cung cấp kênh an toàn giữa máy chủ và thiết bị sinh trắc học, nhưng thật không may, các nhà sản xuất thiết bị dường như hiểu sai một số mục tiêu. Ngoài ra, SDCP chỉ bao gồm phạm vi hoạt động rất hẹp của một thiết bị thông thường, trong khi hầu hết các thiết bị đều có bề mặt tấn công rộng lớn”.
Lê Thị Bích Hằng
(Tổng hợp)
07:00 | 18/01/2024
08:00 | 19/01/2024
16:00 | 18/12/2023
07:00 | 18/01/2024
13:00 | 08/11/2023
09:00 | 12/12/2023
15:00 | 15/11/2023
08:00 | 11/01/2024
13:00 | 21/11/2023
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024