Windows Hello не так безопасна, как кажется: как хакеры могут обойти защиту вашего компьютера

  • Категория: Security
  • Дата: 8 августа 2025 г. в 07:20
  • Просмотров: 42

Обложка

Изображение предоставлено Microsoft

Microsoft активно продвигает отказ от паролей, предлагая пользователям переходить на более современные методы аутентификации, такие как ключи доступа и Windows Hello. Однако, как выяснилось, даже у этих технологий есть свои уязвимости.

Немецкие исследователи Тилльманн Оссвальд и доктор Баптист Дэвид на конференции Black Hat в Лас-Вегасе продемонстрировали, как можно обойти защиту бизнес-версии Windows Hello.

Во время своей демонстрации они показали, как злоумышленник, получив права локального администратора, может внедрить свой собственный скан лица в биометрическую базу данных целевого компьютера. После этого система распознает злоумышленника как легитимного пользователя и разблокирует компьютер.

Как это работает?

Чтобы понять суть проблемы, нужно разобраться в работе Windows Hello в бизнес-среде. При первой настройке создается пара ключей (открытый и закрытый). Открытый ключ регистрируется у поставщика удостоверений организации, например, Entra ID.

Сами биометрические данные хранятся в зашифрованной базе данных, которой управляет служба Windows Biometric Service (WBS). При аутентификации система сравнивает текущий скан лица с сохраненным шаблоном.

В чем уязвимость?

Проблема заключается в том, что в некоторых случаях шифрование базы данных с биометрическими данными недостаточно надежно, чтобы остановить злоумышленника, уже имеющего права локального администратора. Это позволяет ему расшифровать биометрические данные и подменить их.

Enhanced Sign-in Security (ESS) – решение проблемы?

Microsoft разработала Enhanced Sign-in Security (ESS) для решения этой проблемы. ESS изолирует процесс биометрической аутентификации в безопасной среде, управляемой гипервизором системы.

Однако для работы ESS требуется определенный набор оборудования:

  • Современный 64-битный процессор с поддержкой аппаратной виртуализации
  • Чип TPM 2.0
  • Secure Boot, включенный в прошивке
  • Специально сертифицированные биометрические датчики

Microsoft требует этот уровень защиты для своей новой линейки Copilot+ PC, но, как отмечает Оссвальд, многим существующим компьютерам этого не хватает.

ESS – эффективное решение, но не все могут им воспользоваться.

Что делать, чтобы защитить свой компьютер?

Как же обезопасить себя от этой уязвимости? По словам Оссвальда и Дэвида, исправление существующей системы хранения биометрических данных без ESS – сложная задача, требующая масштабной переработки архитектуры.

Рекомендации:

  • Если вы используете Windows Hello на бизнес-машине без ESS, отключите биометрию и используйте PIN-код.

Как проверить, поддерживает ли ваш компьютер ESS?

  1. Зайдите в системные настройки.
  2. Перейдите в "Параметры входа" вашей учетной записи.
  3. Найдите переключатель "Вход с помощью внешней камеры или сканера отпечатков пальцев".

Скриншот настроек - Отключить переключатель ESS

Если этот переключатель выключен, ESS активна. Это также означает, что USB-сканер отпечатков пальцев не будет работать для входа в Windows. Включив его, вы отключите ESS, разрешив работу внешним устройствам, но снизите уровень безопасности.

Microsoft заявляет, что некоторые "Windows Hello совместимые" периферийные устройства могут включить ESS на вашем устройстве. Если вы используете одно из таких устройств, рекомендуется подключить его перед первой загрузкой и не отключать его. Поддержка внешних устройств с ESS в полном объеме ожидается к концу 2025 года.

Мнение редакции MSReview:

Ситуация с Windows Hello и ее уязвимостями действительно вызывает обеспокоенность. Важно, чтобы пользователи понимали риски и принимали меры для защиты своих систем. Рекомендации экспертов по отключению биометрии на системах без ESS и использованию альтернативных методов аутентификации, таких как PIN-коды, кажутся разумными шагами. Microsoft, в свою очередь, должна ускорить работу над устранением уязвимостей и расширением поддержки ESS на большее количество устройств. Безопасность биометрической аутентификации должна быть приоритетом, чтобы пользователи могли доверять этой технологии для защиты своих данных.

MSReview Источник:
www.neowin.net
  • 0

Похожие новости
Windows 11
Уязвимость в принтерах: сотни моделей под угрозой из-за слабых паролей
Уязвимость в принтерах: сотни моделей под угрозой из-за слабых паролей
Искусственный интеллект на страже вашей безопасности: Microsoft Entra Security Copilot теперь доступен каждому ИТ-администратору
Искусственный интеллект на страже вашей безопасности: Microsoft Entra Security Copilot теперь доступен каждому ИТ-администратору
Ядерная безопасность под угрозой: как уязвимость в SharePoint затронула США
Ядерная безопасность под угрозой: как уязвимость в SharePoint затронула США
Ваша личная информация под угрозой? Что случилось с популярным приложением для знакомств Tea
Ваша личная информация под угрозой? Что случилось с популярным приложением для знакомств Tea
Бесплатный справочник по облачной безопасности: второе издание для вас!
Бесплатный справочник по облачной безопасности: второе издание для вас!
Ошибка в коде Microsoft открыла злоумышленникам доступ к вашим файлам: как это произошло
Ошибка в коде Microsoft открыла злоумышленникам доступ к вашим файлам: как это произошло



  • Комментарии
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.