Uma nova pesquisa descobriu várias vulnerabilidades que poderiam ser exploradas para contornar a autenticação do Windows Hello em laptops Dell Inspiron 15, Lenovo ThinkPad T14 e Microsoft Surface Pro X.
As falhas foram descobertas por pesquisadores da empresa de segurança de produtos de hardware e software e pesquisa ofensiva Blackwing Intelligence, que encontrou as fraquezas nos sensores de impressões digitais da Goodix, Synaptics e ELAN que estão embutidos nos dispositivos.
Um pré-requisito para as explorações do leitor de impressões digitais é que os usuários dos laptops direcionados já tenham configurado a autenticação por impressão digital.
Os três sensores de impressões digitais são um tipo de sensor chamado "match on chip" (MoC), que integra as funções de correspondência e outras funções de gerenciamento biométrico diretamente no circuito integrado do sensor.
"Enquanto o MoC impede a reprodução de dados de impressões digitais armazenados para o host para correspondência, ele não impede, por si só, que um sensor malicioso falsifique a comunicação de um sensor legítimo com o host e alegue falsamente que um usuário autorizado foi autenticado com sucesso", disseram os pesquisadores Jesse D'Aguanno e Timo Teräs.
O MoC também não impede a reprodução de tráfego previamente gravado entre o host e o sensor.
Embora o Protocolo de Conexão de Dispositivo Seguro (SDCP) criado pela Microsoft tenha como objetivo amenizar alguns desses problemas, criando um canal seguro de ponta a ponta, os pesquisadores descobriram um novo método que poderia ser usado para contornar essas proteções e realizar ataques de adversário no meio (AitM).
Especificamente, o sensor ELAN foi considerado vulnerável a uma combinação de falsificação de sensor decorrente da falta de suporte ao SDCP e transmissão em texto simples de identificadores de segurança (SIDs), permitindo que qualquer dispositivo USB se passe pelo sensor de impressão digital e afirme que um usuário autorizado está se conectando.
No caso da Synaptics, não apenas o SDCP foi descoberto como desativado por padrão, mas a implementação escolheu confiar em uma pilha de Segurança de Camada de Transporte (TLS) personalizada e falha para garantir as comunicações USB entre o driver do host e o sensor que poderiam ser usadas para burlar a autenticação biométrica.
A exploração do sensor Goodix, por outro lado, se aproveita de uma diferença fundamental nas operações de registro realizadas em uma máquina que possui tanto Windows quanto Linux, aproveitando o fato de este último não suportar o SDCP para realizar as seguintes ações:
- Iniciar o Linux
- Enumerar IDs válidos
- Registrar a impressão digital do invasor usando o mesmo ID de um usuário legítimo do Windows
- Aproveitar a comunicação USB em texto simples para realizar um ataque MitM entre o host e o sensor
- Iniciar o Windows
- Intercepte e reescreva o pacote de configuração para apontar para o banco de dados do Linux utilizando nosso ataque MitM
- Fazer login como o usuário legítimo com a impressão digital do invasor
Vale notar que embora o sensor Goodix tenha bancos de dados separados para sistemas Windows e não Windows, o ataque é possível devido ao fato de que o driver do host envia um pacote de configuração não autenticado ao sensor para especificar qual banco de dados usar durante a inicialização do sensor.
Para mitigar tais ataques, é recomendado que os fabricantes de equipamentos originais (OEMs) ativem o SDCP e garantam que a implementação do sensor de impressão digital seja auditada por especialistas qualificados independentes.
Essa não é a primeira vez que a autenticação baseada em biometria do Windows Hello é derrotada com sucesso.
Em julho de 2021, a Microsoft emitiu patches para uma falha de segurança de gravidade média (
CVE-2021-34466
, pontuação CVSS: 6.1) que poderia permitir a um adversário falsificar o rosto de um alvo e contornar a tela de login.
"A Microsoft fez um bom trabalho no projeto do SDCP para fornecer um canal seguro entre o host e os dispositivos biométricos, mas infelizmente os fabricantes de dispositivos parecem entender mal alguns dos objetivos", disseram os pesquisadores.
"Além disso, o SDCP cobre apenas um escopo muito estreito de uma operação típica do dispositivo, enquanto a maioria dos dispositivos tem uma superfície de ataque considerável exposta que não é coberta pelo SDCP de forma alguma."
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...