Windows Hello cho phép người dùng xác thực bằng sinh trắc học hoặc mã PIN mà không cần đến mật khẩu. Xác thực sinh trắc học sử dụng nhận dạng khuôn mặt hoặc dấu vân tay để chứng minh danh tính của người dùng theo cách an toàn, cá nhân và thuận tiện. Tuy nhiên, lỗ hổng mới đây được Blackwing Intelligence phát hiện có thể vượt qua Windows Hello trên một số máy tính xách tay, bao gồm cả Microsoft Surface.
Tất cả các cảm biến vân tay hỗ trợ Windows Hello đã được thử nghiệm đều sử dụng phần cứng dựa trên chip, có nghĩa việc xác thực được xử lý trên chính cảm biến có chip và bộ lưu trữ riêng.
Điều kiện tiên quyết để khai thác lỗ hổng này là mục tiêu, tức người dùng máy tính xách tay đã thiết lập xác thực dấu vân tay. Tất cả các cảm biến vân tay là một loại cảm biến được gọi là “match on chip” (MoC), tích hợp các chức năng quản lý sinh trắc học và đối sánh trực tiếp vào mạch tích hợp của cảm biến.
Hai nhà nghiên cứu Jesse D'Aguanno và Timo Teras cho biết: “Mặc dù MoC ngăn chặn việc phát lại dữ liệu dấu vân tay được lưu trữ trên máy chủ để so sánh, nhưng bản thân nó không ngăn được cảm biến độc hại giả mạo giao tiếp của cảm biến hợp pháp với máy chủ và cho rằng người dùng được ủy quyền đã xác thực thành công”.
MoC cũng không ngăn chặn việc phát lại lưu lượng đã ghi trước đó giữa máy chủ và cảm biến. Mặc dù giao thức kết nối thiết bị an toàn (SDCP) do Microsoft tạo ra nhằm mục đích giảm nguy cơ mất an toàn này bằng cách tạo kênh bảo mật đầu cuối, tuy nhiên các nhà nghiên cứu đã phát hiện ra một phương pháp mới có thể được sử dụng để phá vỡ các biện pháp bảo vệ này và có thể thực hiện cuộc tấn công xen giữa (MiTM).
Cụ thể, cảm biến ELAN được phát hiện là dễ bị tổn thương trước sự kết hợp của việc giả mạo cảm biến xuất phát từ việc thiếu hỗ trợ SDCP và truyền văn bản rõ của số nhận dạng bảo mật (SID), do đó cho phép bất kỳ thiết bị USB nào giả dạng cảm biến vân tay và tuyên bố rằng người dùng được ủy quyền đang đăng nhập.
Trong trường hợp của Synaptics, SDCP không chỉ bị phát hiện bị tắt theo mặc định mà việc triển khai còn chọn giao thức TLS để bảo mật kênh liên lạc USB giữa trình điều khiển máy chủ và cảm biến có thể được vũ khí hóa để vượt qua xác thực sinh trắc học.
Mặt khác, việc khai thác cảm biến Goodix tận dụng sự khác biệt cơ bản trong hoạt động đăng ký được thực hiện trên máy tính Windows và Linux, lợi dụng thực tế là các máy tính này không hỗ trợ SDCP để thực hiện các hành động sau:
- Khởi động hệ điều hành Linux và Windows.
- Liệt kê các ID hợp lệ.
- Đăng ký dấu vân tay của kẻ tấn công bằng cùng ID với người dùng Windows hợp pháp.
- Tấn công MiTM kết nối giữa máy chủ và cảm biến bằng cách tận dụng giao tiếp USB văn bản rõ ràng.
- Đăng nhập với tư cách là người dùng hợp pháp với dấu vân tay của kẻ tấn công.
Để giảm thiểu các cuộc tấn công như vậy, các nhà sản xuất thiết bị gốc (OEM) nên kích hoạt SDCP và đảm bảo rằng việc triển khai cảm biến vân tay được kiểm tra bởi các chuyên gia độc lập có chuyên môn cao.
Đây không phải là lần đầu tiên xác thực dựa trên sinh trắc học Windows Hello bị tấn công thành công. Vào tháng 7/2021, Microsoft đã phát hành các bản vá cho một lỗ hổng bảo mật ở mức độ nghiêm trọng trung bình (CVE-2021-34466, điểm CVSS: 6.1) có thể cho phép kẻ tấn công giả mạo khuôn mặt của mục tiêu và chiếm được màn hình đăng nhập.
Các nhà nghiên cứu cho biết: “Microsoft đã làm rất tốt khi thiết kế SDCP để cung cấp kênh an toàn giữa máy chủ và thiết bị sinh trắc học, nhưng thật không may, các nhà sản xuất thiết bị dường như hiểu sai một số mục tiêu. Ngoài ra, SDCP chỉ bao gồm phạm vi hoạt động rất hẹp của một thiết bị thông thường, trong khi hầu hết các thiết bị đều có bề mặt tấn công rộng lớn”.
Lê Thị Bích Hằng
(Tổng hợp)
07:00 | 18/01/2024
08:00 | 19/01/2024
16:00 | 18/12/2023
13:00 | 08/11/2023
09:00 | 12/12/2023
07:00 | 18/01/2024
15:00 | 15/11/2023
08:00 | 11/01/2024
13:00 | 21/11/2023
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Dell đã thông báo về một vụ vi phạm dữ liệu lớn, sau khi tin tặc có bí danh Menelik đăng bán 49 triệu dữ liệu khách hàng của Dell trên web đen.
16:00 | 15/05/2024
