Gesichtserkennung in Windows Hello geknackt

Die CyberArk Labs haben eine neue Untersuchung zu einer schwerwiegenden Schwachstelle in Windows Hello veröffentlicht. Diese ermöglicht Angreifern, die Gesichtserkennung auf dem Zielgerät zu umgehen. Die Schwachstelle wird als CVE-2021-34466 geführt und mit einem Schweregrad von 5.7 nach CVSS eingestuft. Microsoft hat sie bereits in den Patch-Tuesday-Release aufgenommen.

Die CyberArk Labs sind das Forschungsteam, das die ausgefeilte GoldenSAML-Technik entdeckt hat, mit der die Angreifer auf SolarWinds eine der aufwändigsten Supply-Chain-Attacken aller Zeiten verübt haben. Der neuen Untersuchung zufolge könnte der Proof of Concept (POC)  zur Umgehung der Gesichtserkennung bei der Authentifizierung ähnliche Auswirkungen auf gezielte Spionageaktionen weltweit haben.

Microsoft hat zwei Versionen von Windows Hello entwickelt: eine für Privatanwender und eine Unternehmensversion mit dem Namen Windows Hello for Business (WHfB). Windows Hello wurde 2015 eingeführt und macht die Authentifizierung so einfach wie ein Blick in den Computerbildschirm. Darüber hinaus ermöglicht es eine passwortlose Authentifizierung in Windows-Umgebungen mit nativer Unterstützung.

Wie erwartet, besteht der Hauptunterschied zwischen der Verbraucher- und der Unternehmensversion in der Verwendung, den Implementierungen und der Umgebung, in der sie funktionieren. Windows Hello für Privatanwender zielt beispielsweise auf Einzelpersonen/Unterhaltungsgeräte ab, d. h. auf Heimanwender. Im Gegensatz dazu richtet sich WHfB an Unternehmen und Firmen, die ein beliebiges Active Directory verwenden und eine kennwortlose Lösung implementieren möchten.

Laut Microsoft verwenden 85% der Windows-10-Nutzer Windows Hello für die passwortlose Authentifizierung. Das Labs-Team hat eine Möglichkeit gefunden, die Sicherheitsaspekte hinter dem Gesichtserkennungsmechanismus, den Windows Hello verwendet, über eine speziell angefertigte USB-Kamera und ein Foto der Zielperson zu manipulieren. Obwohl der Fokus der Forscher auf Windows Hello lag, hat der POC Auswirkungen auf jedes Authentifizierungssystem, bei dem eine ansteckbare USB-Kamera eines Drittanbieters als biometrischer Sensor fungiert.

Wie die Untersuchung zeigt, ist diese Art von Angriffen für gezielte Spionage äußerst relevant – wenn das Angriffsziel bekannt ist und ein physischer Zugriff auf ein Gerät vorhanden ist. Besonders für Forscher, Wissenschaftler, Journalisten, Aktivisten und andere User mit IP oder vertraulichen Daten auf ihren Geräten hätte das große Auswirkungen.

Der Angriffsvektor läuft so ab: Erfassen des Bildes eines Opfers, Speichern der erfassten Bilder, Ausgeben eines USB-Kamerageräts und schließlich Senden dieser Bilder an das System zur Überprüfung. Der Kern dieser Schwachstelle liegt darin, dass Windows Hello externe Datenquellen, die manipuliert werden können, als Vertrauensbasis zulässt.

Die Windows Hello-Gesichtserkennungsauthentifizierung erfordert eine Standardkamera, die RGB und Infrarot (IR) unterstützt. Dieser Kameratyp hat zwei separate Sensoren, die zusammen als ein USB-Gerät arbeiten. Nur die Bilder der IR-Kamera werden während des Authentifizierungsprozesses verarbeitet werden.

Mit diesem Verständnis müsste man aus Sicht eines Angreifers eine USB-Kamera implementieren, die RGB- und IR-Bilder unterstützt. Dieses USB-Gerät muss dann nur echte IR-Frames des Opfers senden, um die Anmeldephase zu umgehen, während die RGB-Frames alles Mögliche enthalten können. Im Experiment von CyberArk Labs konnten die Forscher Windows Hello über RGB die Authentifizierung mit Bildern von Spongebob aushebeln.

Statement von Omer Tsarfati, Security Researcher bei CyberArk Labs und Autor:

„Basierend auf unseren ersten Tests zur Behebung der Schwachstelle schränkt die Verwendung von Enhanced Sign-in Security mit kompatibler Hardware die Angriffsfläche zwar ein, ist aber davon abhängig, dass Benutzer bestimmte Kameras einsetzen. Das systemimmanente Sicherheitsrisiko, dass man Peripheriegeräten implizit vertraut, bleibt bestehen. Um dieses inhärente Sicherheitsproblem abzuschwächen, sollte der Host die Integrität des biometrischen Authentifizierungsgeräts validieren, bevor er ihm vertraut.“