微软修复了严重的WindowsHello安全漏洞
网络安全专家分享了绕过Windows Hello生物识别身份验证系统的概念验证。 威胁参与者可以利用身份和访问管理 (IAM)供应商 CyberArk证明的绕过,通过模拟特权帐户访问组织的敏感数据。
扶着官方数字来自微软该建议的超过84%的Windows 10用户登录到使用Windows喂他们的设备,CyberArk认为,旁路造成了企业过渡到无密码的认证严重的安全隐患。
TECHRADAR 需要您!
我们正在研究我们的读者如何将 VPN 与 Netflix 等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过 60 秒的时间,您还可以选择参加抽奖活动以赢取价值 100 美元的亚马逊代金券或五个 1 年期 ExpressVPN 订阅之一。
“虽然我们的研究专门针对 Windows Hello 以及企业产品 Windows Hello 企业版,但重要的是要注意,任何允许可插拔第三方USB 摄像头充当生物识别传感器的身份验证系统都可能容易受到这种攻击没有适当的缓和,”写道CyberArk的安全研究员,奥马尔Tsarfati。
CyberArk 将这个漏洞比作汤姆克鲁斯在热门电影少数派报告中使用的漏洞,涉及使用自定义 USB 设备窃取他们想要模仿的目标面部的红外图像。
然后,分子可以使用此图像破坏任何依赖 USB 摄像头的面部识别产品,例如 Windows Hello。
CyberArk 负责任地向微软披露了该问题,微软在其 7 月补丁星期二更新中修复了该问题。
然而,根据初步测试,CyberArk 研究人员认为,虽然缓解措施确实限制了攻击面,但它依赖于用户拥有特定的摄像头。
“对于系统设计而言,对来自外围设备的输入的隐式信任仍然存在。为了更全面地缓解这种固有的信任问题,主机应该在信任生物特征认证设备之前验证它的完整性,”Tsarfati 说。
Mayank Sharma 在 Linux 上有近 20 年的写作和报告经验,他希望每个人都认为他是TechRadar Pro在该主题上的专家。当然,他对其他计算主题也同样感兴趣,尤其是网络安全、云、容器和编码。