Une nouvelle recherche a découvert plusieurs vulnérabilités qui pourraient être exploitées pour contourner Authentification Windows Hello sur les ordinateurs portables Dell Inspiron 15, Lenovo ThinkPad T14 et Microsoft Surface Pro X.
Les failles ont été découvertes par des chercheurs de la société de recherche offensive et de sécurité des produits matériels et logiciels Blackwing Intelligence, qui ont découvert les faiblesses des capteurs d’empreintes digitales de Goodix, Synaptics et ELAN intégrés aux appareils.
Une condition préalable aux exploits des lecteurs d’empreintes digitales est que les utilisateurs des ordinateurs portables ciblés disposent déjà d’une authentification par empreinte digitale.
Tous les capteurs d’empreintes digitales sont un type de capteur appelé « match on chip » (Ministère du Commerce), qui intègre les fonctions de matching et autres fonctions de gestion biométrique directement dans le circuit intégré du capteur.
« Bien que MoC empêche la relecture des données d’empreintes digitales stockées sur l’hôte pour les faire correspondre, il n’empêche pas en soi un capteur malveillant d’usurper la communication d’un capteur légitime avec l’hôte et de prétendre faussement qu’un utilisateur autorisé s’est authentifié avec succès », chercheurs Jesse D’ Aguanno et Timo Teräs dit.
Le MoC n’empêche pas non plus la relecture du trafic précédemment enregistré entre l’hôte et le capteur.
Bien que le protocole de connexion sécurisée des appareils (SDCP) créé par Microsoft vise à atténuer certains de ces problèmes en créant un canal sécurisé de bout en bout, les chercheurs ont découvert une nouvelle méthode qui pourrait être utilisée pour contourner ces protections et organiser des attaques d’adversaire au milieu (AitM).
Plus précisément, le capteur ELAN s’est révélé vulnérable à une combinaison d’usurpation d’identité du capteur résultant du manque de prise en charge SDCP et de la transmission en clair des identifiants de sécurité (SID), permettant ainsi à n’importe quel périphérique USB de se faire passer pour le capteur d’empreintes digitales et de prétendre qu’un utilisateur autorisé se connecte.
Dans le cas de Synaptics, non seulement SDCP a été découvert comme étant désactivé par défaut, mais l’implémentation a choisi de s’appuyer sur une sécurité de couche de transport personnalisée et défectueuse (TLS) pour sécuriser les communications USB entre le pilote hôte et le capteur qui pourraient être utilisées pour contourner l’authentification biométrique.
L’exploitation du capteur Goodix, quant à elle, capitalise sur une différence fondamentale dans les opérations d’inscription effectuées sur une machine chargée à la fois de Windows et de Linux, en profitant du fait que ce dernier ne supporte pas SDCP pour effectuer les actions suivantes –
- Démarrez sous Linux
- Énumérer les identifiants valides
- Enregistrez l’empreinte digitale de l’attaquant en utilisant le même identifiant qu’un utilisateur Windows légitime
- MitM la connexion entre l’hôte et le capteur en tirant parti de la communication USB en texte clair
- Démarrer sous Windows
- Interceptez et réécrivez le paquet de configuration pour pointer vers la base de données Linux à l’aide de notre MitM
- Connectez-vous en tant qu’utilisateur légitime avec l’empreinte de l’attaquant
Il convient de souligner que même si le capteur Goodix dispose de bases de données de modèles d’empreintes digitales distinctes pour les systèmes Windows et non Windows, l’attaque est possible du fait que le pilote hôte envoie un paquet de configuration non authentifié au capteur pour spécifier quelle base de données utiliser pendant le capteur. initialisation.
Pour atténuer de telles attaques, il est recommandé aux fabricants d’équipement d’origine (OEM) d’activer SDCP et de garantir que la mise en œuvre du capteur d’empreintes digitales est auditée par des experts indépendants qualifiés.
Ce n’est pas la première fois que l’authentification basée sur la biométrie Windows Hello est vaincue avec succès. En juillet 2021, Microsoft a publié des correctifs pour une faille de sécurité de gravité moyenne (CVE-2021-34466, score CVSS : 6,1) qui pourrait permettre à un adversaire de usurper le visage d’une cible et contournez l’écran de connexion.
« Microsoft a fait du bon travail en concevant le SDCP pour fournir un canal sécurisé entre l’hôte et les appareils biométriques, mais malheureusement les fabricants d’appareils semblent mal comprendre certains des objectifs », ont déclaré les chercheurs.
« De plus, le SDCP ne couvre qu’une portée très étroite du fonctionnement d’un appareil typique, alors que la plupart des appareils ont une surface d’attaque importante qui n’est pas du tout couverte par le SDCP. »