[English]Sicherheitsforschern von CyberArk ist es gelungen, die Hello-Anmeldung von Windows 10 (ist auch in Windows 11 dabei) in Bezug auf die Anmeldung per Gesichtserkennung auszutricksen. Alles was sie dazu brauchten, war ein Infrarot-Abbild des betreffenden Gesichts, welches als Kamerabild in Windows Hello eingespeist wird. Hier einige Informationen zum Sachverhalt.
Anzeige
Die Windows Hello-Anmeldung
Bei Windows Hello handelt es sich um eine ab Windows 10 unterstützt Anmeldemethode des Betriebssystem. Diese kann in Hello mit einer PIN, Gesichtserkennung oder einem Fingerabdruck durchgeführt werden. Als Teil der Einrichtung der Fingerabdruck- oder Gesichtserkennungsanmeldung muss der Nutzer eine PIN einrichten, so dass er sich im Zweifelsfall mit seiner PIN anmelden kann.
Laut Microsoft sollen diese Optionen die Anmeldung an einem entsprechenden PC einfacher und sicherer machen, da die PIN nur mit einem Gerät verknüpft ist und zur Wiederherstellung mit Ihrem Microsoft-Konto gesichert wird. Fingerabdruck und Gesichtserkennung klingen auch nach mehr Komfort und Sicherheit. Wobei aus der Vergangenheit bekannt ist, dass diese Identifikationsmethoden getäuscht werden können.
Der Trick mit dem InfrarotabbildFoto
Vielen Nutzern ist unbekannt, dass die Hello-Anmeldung neben einer Webcam zur Gesichtserkennung auch Infrarot-Bilder einer Person zur Authentifizierung anwenden kann. Dies haben sich Sicherheitsforscher von CyberArk zunutze gemacht, wie ich folgendem Tweet entnehme.
Catalin Cimpanu hat den Sachverhalt in diesem Artikel zusammengefasst. In kompakter Form: CyberArk-Sicherheitsforscher Omer Tsarfati entdeckte, dass Windows 10 Hello nicht nur eine Gesichtserkennung von Webcams ermöglicht, sondern auch die Signale von Infrarot-fähigen Webcams unterstützt.
Anfang 2021 führte Omer Tsarfati dann verschiedene Tests durch. Er stellte überrascht fest, dass die Infrarot-Auswertung eines Gesichts nicht gleichwertig mit der Gesichtserkennung mit normalen (RGB-)Kameras ist. Während Windows Hello bei einer normalen Webcam ein bewegtes Gesicht erwartet, ist das beim Verifizierungsprozess für Infraroteingaben nicht der Fall.
Tsarfati gelang es, ein Infrarot-Foto seines Gesichts über ein präpariertes USB-Gerät, welches eine entsprechende Infrarot-Kamera simuliert, einzuspeisen. Das statische Bild wurde anerkannt und Windows Hello gewährte den Zugang zu einem gesperrten Gerät. Die Schwachstelle ist jetzt nicht so dramatisch, da der Angreifer Zugriff auf ein Gerät haben muss. Auch dürfte es einigen Aufwand kosten, ein Fake-USB-Gerät zu erstellen, welches eine IR-Kamera simuliert – und ein Infrarot-Foto des Gesichts der zu authentifizierenden Person braucht man auch. Der Fall zeigt aber, dass ein Angreifer eine Fake-Infrarotkamera anschließen und eine Anmeldung mittels eines gespeicherten Infrarot-Fotos versuchen könnte. Es ist nicht das erste Mal, dass biometrische Authentifizierungsmethoden umgangen werden können.
Laut Tsarfati hat Microsoft diese Schwachstelle CVE-2021-34466 mit den Sicherheitsupdates vom 13. Juli 2021 beseitigt. Offenbar wurde das Ganze nicht als läppich eingestuft. Windows 10-Anwendern, die diese Funktion von Windows Hello zur passwortlosen Authentifizierung verwenden, wird empfohlen, die neuesten Sicherheitsupdates zu installieren.
Anzeige
Ähnliche Artikel:
Patchday: Windows 10-Updates (13. Juli 2021)
Samsung Galaxy S8: Gesichtserkennung ausgetrickst
Wie Chinas Tech-Konzerne die Standards für Videoüberwachung prägen
Lesetipp: Insights zur Gesichtserkennung
2015
Was für eine Lücke! Der Angreifer muss also nur das Gerät in seinen Besitz bringen und eine Infrarotaufnahme des Accountbesitzers machen. Also einfach den User dazu überreden ganz still zu sitzen und abzuwarten bis das Bild im Kasten ist.
So kann man Hello auch schlecht reden und die Einfältigen fallen in den Singsang mit ein. Ich sehe schon wieder die Schlagzeilen in den einschlägigen Online Medien.
Windows Bashing go!
Die Sache ist doch ganz einfach, ich begebe mich auf den Stuhl des Einfältigen.
Die vermeintliche Lücke ist keine -> Microsoft patcht nicht.
Die Sache wird von Microsoft als Schwachstelle angesehen und gepatcht.
Und nun einfach mal nachlesen, was dazu im Text zu finden ist. Aber jetzt geht Lebbe auf der nächsten Baustelle HiveNightmare weiter;-)
Oha, immer diese Windows-Lover…
"Laut Tsarfati hat Microsoft diese Schwachstelle CVE-2021-34466 mit den Sicherheitsupdates vom 13. Juli 2021 beseitigt. Windows 10-Anwendern, die diese Funktion von Windows Hello zur passwortlosen Authentifizierung verwenden, wird empfohlen, die neuesten Sicherheitsupdates zu installieren."
Ich sehe hier kein bashing. Es wurde eine Sicherheitslücke entdeckt, bewiesen, mitgeteilt und gefixt. Ist doch in Ordnung?
Auch sehe ich kein Problem damit, als Otto-Normal daheim am eigenen Rechner auf die Kamera-Erfassung zu setzen. Wohl jedoch sehe ich darin ein Problem, dies in einem Unternehmen einzusetzen mit wechselnden Mitarbeitern.
Bislang arbeitet keine mir bekannte Technik auf Kamera-Technik 100 % akkurat. Und mit Sicherheit keine Haus- und Wiesenkameras im 2-3 stelligen Budget-Bereich, egal wie drollig die Software dahinter ist.
Dennoch sehe ich hier kein bashing. Oder muß man jetzt hinter jedem Artikel schreiben: "Es ist bekannt, daß auch Linux-basierte Systeme Sicherheitslücken aufweisen und nicht sicher sind."? Das geht dann so lange gut, bis eine Linux-Sicherheitslücke publik gemacht wird und man hinten ran schreibt "auch Windows-basierte Systeme haben Sicherheitslücken.", was dann wieder als whataboutism bezeichnet würde?
Hallo Günter,
du beschreibst den Sachverhalt nicht korrekt. Der Angriff erfolgte nicht über ein Foto, dass man vor die IR-Kamera hält, sondern via USB-Stick, der dem System eine USB-IR-Kamera vorgaukelt. Über den USB-Stick wird ein abgespeichertes IR-Profil des Nutzergesichts in den Windows Hello Dialog eingeschleust.
Du hast Recht – danke für den Einwand. Ich habe das Ganze präzisiert.