Falhas nos sensores de digital permitem ignorem o login do Windows Hello

As falhas foram descobertas por pesquisadores da empresa de segurança de produtos de hardware e software e de pesquisa ofensiva Blackwing Intelligence, que encontraram os pontos fracos nos sensores de impressão digital da Goodix, Synaptics e ELAN incorporados aos dispositivos.

Um pré-requisito para explorações do leitor de impressão digital é que os usuários dos laptops visados ​​já tenham a autenticação de impressão digital configurada.

Todos os três sensores de impressão digital são um tipo de sensor denominado “match on chip” ( MoC ), que integra a correspondência e outras funções de gerenciamento biométrico diretamente no circuito integrado do sensor.

“Embora o MoC impeça a reprodução de dados de impressão digital armazenados no host para correspondência, ele não impede, por si só, que um sensor malicioso falsifique a comunicação de um sensor legítimo com o host e alegue falsamente que um usuário autorizado foi autenticado com sucesso”, pesquisadores Jesse D’ Aguanno e Timo Teräs disseram .

O MoC também não impede a reprodução do tráfego previamente gravado entre o host e o sensor.

Embora o Secure Device Connection Protocol ( SDCP ) criado pela Microsoft tenha como objetivo aliviar alguns desses problemas criando um canal seguro de ponta a ponta, os pesquisadores descobriram um novo método que poderia ser usado para contornar essas proteções e preparar o ataque do adversário. ataques do meio (AitM).

Especificamente, descobriu-se que o sensor ELAN é vulnerável a uma combinação de falsificação de sensor decorrente da falta de suporte SDCP e transmissão de texto não criptografado de identificadores de segurança (SIDs) , permitindo assim que qualquer dispositivo USB se disfarce como sensor de impressão digital e alegue que um usuário autorizado está fazendo login.

No caso do Synaptics, não apenas foi descoberto que o SDCP estava desativado por padrão, mas a implementação optou por contar com uma pilha personalizada defeituosa do Transport Layer Security ( TLS ) para proteger as comunicações USB entre o driver do host e o sensor que poderia ser usado como arma para evitar autenticação biométrica.

• Inicialize no Linux
• Enumerar IDs válidos
• Registre a impressão digital do invasor usando a mesma ID de um usuário legítimo do Windows
• MitM a conexão entre o host e o sensor, aproveitando a comunicação USB de texto não criptografado
• Inicialize no Windows
• Intercepte e reescreva o pacote de configuração para apontar para o banco de dados Linux usando nosso MitM
• Faça login como usuário legítimo com impressão do invasor

Vale ressaltar que, embora o sensor Goodix tenha bancos de dados de modelos de impressão digital separados para sistemas Windows e não Windows, o ataque é possível devido ao fato de o driver host enviar um pacote de configuração não autenticado ao sensor para especificar qual banco de dados usar durante o sensor. inicialização.

Para mitigar tais ataques, recomenda-se que os fabricantes de equipamentos originais (OEMs) habilitem o SDCP e garantam que a implementação do sensor de impressão digital seja auditada por especialistas qualificados independentes.

Esta não é a primeira vez que a autenticação baseada em biometria do Windows Hello foi derrotada com sucesso. Em julho de 2021, a Microsoft lançou patches para uma falha de segurança de gravidade média ( CVE-2021-34466 , pontuação CVSS: 6,1) que poderia permitir que um adversário falsificasse o rosto de um alvo e contornasse a tela de login.

“A Microsoft fez um bom trabalho ao projetar o SDCP para fornecer um canal seguro entre o host e os dispositivos biométricos, mas infelizmente os fabricantes de dispositivos parecem não entender alguns dos objetivos”, disseram os pesquisadores.

“Além disso, o SDCP cobre apenas um escopo muito restrito da operação típica de um dispositivo, enquanto a maioria dos dispositivos tem exposta uma superfície de ataque considerável que não é coberta pelo SDCP.“