Novas Falhas em Sensores de Impressão Digital Permitem que Atacantes Contornem o Login do Windows Hello
23 de Novembro de 2023

Uma nova pesquisa descobriu várias vulnerabilidades que poderiam ser exploradas para contornar a autenticação do Windows Hello em laptops Dell Inspiron 15, Lenovo ThinkPad T14 e Microsoft Surface Pro X.

As falhas foram descobertas por pesquisadores da empresa de segurança de produtos de hardware e software e pesquisa ofensiva Blackwing Intelligence, que encontrou as fraquezas nos sensores de impressões digitais da Goodix, Synaptics e ELAN que estão embutidos nos dispositivos.

Um pré-requisito para as explorações do leitor de impressões digitais é que os usuários dos laptops direcionados já tenham configurado a autenticação por impressão digital.

Os três sensores de impressões digitais são um tipo de sensor chamado "match on chip" (MoC), que integra as funções de correspondência e outras funções de gerenciamento biométrico diretamente no circuito integrado do sensor.

"Enquanto o MoC impede a reprodução de dados de impressões digitais armazenados para o host para correspondência, ele não impede, por si só, que um sensor malicioso falsifique a comunicação de um sensor legítimo com o host e alegue falsamente que um usuário autorizado foi autenticado com sucesso", disseram os pesquisadores Jesse D'Aguanno e Timo Teräs.

O MoC também não impede a reprodução de tráfego previamente gravado entre o host e o sensor.

Embora o Protocolo de Conexão de Dispositivo Seguro (SDCP) criado pela Microsoft tenha como objetivo amenizar alguns desses problemas, criando um canal seguro de ponta a ponta, os pesquisadores descobriram um novo método que poderia ser usado para contornar essas proteções e realizar ataques de adversário no meio (AitM).

Especificamente, o sensor ELAN foi considerado vulnerável a uma combinação de falsificação de sensor decorrente da falta de suporte ao SDCP e transmissão em texto simples de identificadores de segurança (SIDs), permitindo que qualquer dispositivo USB se passe pelo sensor de impressão digital e afirme que um usuário autorizado está se conectando.

No caso da Synaptics, não apenas o SDCP foi descoberto como desativado por padrão, mas a implementação escolheu confiar em uma pilha de Segurança de Camada de Transporte (TLS) personalizada e falha para garantir as comunicações USB entre o driver do host e o sensor que poderiam ser usadas para burlar a autenticação biométrica.

A exploração do sensor Goodix, por outro lado, se aproveita de uma diferença fundamental nas operações de registro realizadas em uma máquina que possui tanto Windows quanto Linux, aproveitando o fato de este último não suportar o SDCP para realizar as seguintes ações:

- Iniciar o Linux
- Enumerar IDs válidos
- Registrar a impressão digital do invasor usando o mesmo ID de um usuário legítimo do Windows
- Aproveitar a comunicação USB em texto simples para realizar um ataque MitM entre o host e o sensor
- Iniciar o Windows
- Intercepte e reescreva o pacote de configuração para apontar para o banco de dados do Linux utilizando nosso ataque MitM
- Fazer login como o usuário legítimo com a impressão digital do invasor

Vale notar que embora o sensor Goodix tenha bancos de dados separados para sistemas Windows e não Windows, o ataque é possível devido ao fato de que o driver do host envia um pacote de configuração não autenticado ao sensor para especificar qual banco de dados usar durante a inicialização do sensor.

Para mitigar tais ataques, é recomendado que os fabricantes de equipamentos originais (OEMs) ativem o SDCP e garantam que a implementação do sensor de impressão digital seja auditada por especialistas qualificados independentes.

Essa não é a primeira vez que a autenticação baseada em biometria do Windows Hello é derrotada com sucesso.

Em julho de 2021, a Microsoft emitiu patches para uma falha de segurança de gravidade média ( CVE-2021-34466 , pontuação CVSS: 6.1) que poderia permitir a um adversário falsificar o rosto de um alvo e contornar a tela de login.

"A Microsoft fez um bom trabalho no projeto do SDCP para fornecer um canal seguro entre o host e os dispositivos biométricos, mas infelizmente os fabricantes de dispositivos parecem entender mal alguns dos objetivos", disseram os pesquisadores.

"Além disso, o SDCP cobre apenas um escopo muito estreito de uma operação típica do dispositivo, enquanto a maioria dos dispositivos tem uma superfície de ataque considerável exposta que não é coberta pelo SDCP de forma alguma."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...