Hackerlar, Windows Hello’nun kabul etmekten oldukça mutlu olduğu bir hedefin yakalanan kızıl ötesi resimlerini ileten sahte bir USB kamera kullanarak Windows Hello güvenliğini atlayabildiklerini gösterdi.
Sorun aslında basit, Windows Hello kimlik doğrulama sisteminin IR özellikli herhangi bir kamerayı Windows Hello kamerası olarak kabul etmeye istekli olması ve bilgisayar korsanlarının bilgisayara gerçek veri yerine manipüle edilmiş bir veri akışı sunmasına izin vermesi gibi görünüyor.
Ayrıca, bilgisayar korsanlarının bilgisayara yalnızca iki karelik veri göndermesi gerektiği ortaya çıktı – bir hedefin gerçek IR yakalaması ve bir boş siyah kare. Windows Hello’nun canlılık testlerini kandırmak için ikinci kareye ihtiyaç var gibi görünüyor.
CyberArk Labs, IR görüntüsünün özel uzun menzilli IR kameralar veya bir asansör gibi hedefin ortamına gizlice yerleştirilmiş kameralar tarafından yakalanabileceğini söylüyor.
Microsoft, bir CVE-2021-34466 danışma belgesinde güvenlik açığını fark etti ve bu açığı azaltma olarak Windows Hello Gelişmiş Oturum Açma Güvenliği’ni sundu. Bu, yalnızca OEM bilgisayarların kriptografik güven zincirinin bir parçası olan Windows Hello kameralarının bir veri kaynağı olarak kullanılmasına izin veriyor, CyberArk’ın not ettiği gibi tüm cihazlar tarafından desteklenmiyor.
Konuyla ilgili tüm ayrıntılara CyberArk Labs’in dökümantasyonundan ulaşabilirsiniz.