Windows Hello puede superarse aprovechando una vulnerabilidad
CyberArk Labs ha publicado una nueva investigación sobre una importante vulnerabilidad en Windows Hello que permite a un atacante eludir la autenticación de reconocimiento facial en el dispositivo.
Microsoft y otras compañías de tecnología están trabajando arduamente para reemplazar las contraseñas por alternativas más seguras y menos incómodas como los sistemas de autenticación biométrica. Windows Hello llegó en 2015 utilizando sensores infrarrojos, lectores de huellas dactilares y cámaras para conseguir de forma conjunta una identificación plena, más segura.
Integrado de serie en Windows 10, Microsoft ha ido mejorado Windows Hello hasta obtener la certificación oficial FIDO2, una norma creada en 2012 por algunas de las grandes tecnológicas (Google, Microsoft, ARM, Samsung…) para hacer frente a la falta de interoperabilidad entre tecnologías de autenticación, solucionando los problemas que enfrentan los usuarios teniendo que crear y recordar múltiples nombres de usuario y contraseñas.
Vulnerabilidad en Windows Hello
Según Microsoft, el 85% de los usuarios de Windows 10 usan Windows Hello para la autenticación sin contraseña. Durante los últimos meses el equipo de investigación de CyberArk Labs ha estado explorando posibles debilidades en el sistema con la esperanza de fortalecer la seguridad biométrica en general.
El equipo de investigación encontró una manera de manipular los aspectos de seguridad detrás del mecanismo de reconocimiento facial que usa Windows Hello, a través de una cámara USB personalizada y una foto del usuario objetivo. El objetivo de los investigadores era Windows Hello, pero parece que la prueba de concepto tiene implicaciones para cualquier sistema de autenticación que permita que una cámara USB conectable de terceros actúe como sensor biométrico.
Tras descubrir la sofisticada técnica GoldenSAML, que los atacantes de SolarWinds utilizaron para perpetrar uno de los ataques a la cadena de suministro más elaborados de la historia, CyberArk Labs ha confirmado con esta prueba de concepto cómo omitir el reconocimiento facial para la autenticación puede tener un impacto similar en las campañas de espionaje dirigidas en todo el mundo.
Como muestra la investigación, este tipo de ataque es muy relevante para el espionaje dirigido, donde se conoce al objetivo y se requiere acceso físico a un dispositivo. Este sería un ataque muy efectivo contra un investigador, científico, periodista, activista o cualquier otra persona que tenga una dirección IP en su dispositivo.
La vulnerabilidad permite a un atacante con acceso físico al dispositivo manipular el proceso de autenticación capturando o recreando una foto de la cara del objetivo y luego conectando un dispositivo USB personalizado para inyectar las imágenes falsificadas en el host de autenticación. La firma de seguridad no tiene evidencias de que este ataque haya sido usado hasta ahora.
En las conclusiones, la investigación revela cómo un sistema, como Windows Hello, que confía implícitamente en la entrada de dispositivos periféricos puede exponerse a una debilidad de seguridad inherente. Esta entrada, en algunos casos, puede contener datos «públicos» como el rostro de una persona, lo que puede generar problemas de seguridad.
CyberArk Labs presentará este estudio en el Black Hat 2021 del 4 al 5 de agosto de 2021 y compartirá la explicación técnica, incluido un análisis de la mitigación que Microsoft emitió el 13 de julio de 2021 (CVE-2021 -34466) como parte de la divulgación coordinada de vulnerabilidades.
