Dal mese di maggio, il login passwordless è quello predefinito per i nuovi account Microsoft, ad esempio usando le passkey o la funzionalità Windows Hello (PIN, impronta digitale o riconoscimento facciale). Due ricercatori tedeschi hanno dimostrato che si può aggirare l’autenticazione biometrica.
Il PC si sblocca con la faccia di un altro
Durante la presentazione alla conferenza Black Hat di Las Vegas, Baptiste David e Tillmann Osswald di ERNW Research hanno dimostrato come un cybercriminale potrebbe aggirare Windows Hello, dopo aver ottenuto i privilegi di amministratore (le credenziali si possono rubare tramite malware o altri metodi).
Il login con Windows Hello viene solitamente utilizzato dagli utenti aziendali. Quando è attivata la funzionalità viene generata una coppia di chiavi crittografiche (pubblica/privata). I dati biometrici sono conservati in un database (cifrato) gestito dal Windows Biometric Service. Al momento del login, la scansione del volto viene confrontata con quella presente nel database.
Durante la dimostrazione, Baptiste David ha effettuato il login con Windows Hello usando il riconoscimento facciale. Tillmann Osswald ha ottenuto i privilegi di amministratore, iniettato un codice infetto ed effettuato l’accesso a Windows con la sua scansione facciale estratta da un altro computer.
Microsoft ha implementato una soluzione che impedisce questo tipo di attacco. La funzionalità si chiama Enhanced Sign-in Security (ESS) e isola l’intero processo di autenticazione biometrica all’interno di un ambiente sicuro gestito dall’hypervisor del sistema.
I due ricercatori hanno sottolineato che questa protezione non è disponibile su tutti i dispositivi, in quanto devono essere soddisfatti determinati requisiti hardware e software. È infatti necessario un sensore per il riconoscimento facciale con driver che supportano ESS, oltre a Virtualization-Based Security, TPM 2.0 e Secure Boot. Essendo quasi impossibile risolvere il problema, l’unica soluzione è usare un PIN per il login.