Windows 安全漏洞將允許攻擊者欺騙用于系統(tǒng)生物特征面部識(shí)別方面的 USB 攝像頭。

　　微軟 Windows 10 無(wú)密碼身份驗(yàn)證系統(tǒng)中的一個(gè)漏洞已被發(fā)現(xiàn)，攻擊者可以利用該漏洞欺騙人臉圖像以欺騙面部識(shí)別系統(tǒng)并控制設(shè)備。

　　Windows Hello是Windows 10提供的一個(gè)新的安全功能，該功能通過(guò)生物識(shí)別技術(shù)為小伙伴們帶來(lái)指紋、人臉和虹膜等多種身份驗(yàn)證方式，具有極高的安全性。只有具備特定的硬件設(shè)備才能使用Windows Hello功能。例如，指紋識(shí)別技術(shù)需要指紋收集器，人臉和虹膜識(shí)別技術(shù)需要Intel 3D RealSense攝像頭或采用該技術(shù)并得到微軟認(rèn)證的同類設(shè)備。使用Windows Hello功能之前需要先啟用PIN碼，如果沒(méi)有為當(dāng)前登錄系統(tǒng)的用戶賬戶設(shè)置密碼，那么需要在啟用PIN碼之前先為該賬戶創(chuàng)建密碼。設(shè)置好PIN碼后，如果已經(jīng)為計(jì)算機(jī)安裝好了Windows Hello所需的硬件設(shè)備，接下來(lái)可以通過(guò)設(shè)置向?qū)?lái)啟用Windows Hello功能。成功啟用Windows Hello后，小伙伴們將獲得企業(yè)級(jí)別的安全性。以后只需通過(guò)快速輕掃手指或?qū)χ鳵ealSense攝像頭刷臉來(lái)登錄Windows 10操作系統(tǒng)，而不再需要手動(dòng)輸入任何密碼。據(jù)微軟稱，大約 85% 的 Windows 10 用戶使用該系統(tǒng)。

　　CyberArk Labs 的研究人員早在 3 月份發(fā)現(xiàn)了該漏洞，并該漏洞命名為 CVE-2021-34466 ，并被評(píng)為重要嚴(yán)重性的Windows Hello漏洞。

　　根據(jù) Microsoft 對(duì)安全漏洞的評(píng)估，未經(jīng)身份驗(yàn)證的攻擊者需要物理訪問(wèn)目標(biāo)設(shè)備才能在高復(fù)雜性攻擊中利用它。

　　攻擊者利用這個(gè)漏洞可以繼續(xù)操縱身份驗(yàn)證過(guò)程，方法是捕捉或重現(xiàn)目標(biāo)的面部照片，然后插入定制的USB設(shè)備，將偽造的圖像注入身份驗(yàn)證主機(jī)。

　　此外，該繞過(guò)漏洞的利用可以擴(kuò)展到Windows Hello系統(tǒng)之外的任何認(rèn)證系統(tǒng)，允許可插接的第三方USB攝像頭作為生物識(shí)別傳感器。

　　研究人員沒(méi)有證據(jù)表明有人曾在野外嘗試或使用過(guò)這種攻擊，但有攻擊動(dòng)機(jī)的人可能會(huì)將其用于目標(biāo)間諜受害者，比如研究人員、科學(xué)家、記者、活動(dòng)家或設(shè)備上有敏感IP的特權(quán)用戶。

　　微軟在其July Patch Tuesday update中修復(fù)了該漏洞，該漏洞會(huì)影響該功能的消費(fèi)者和商業(yè)版本。此外，Windows Hello 增強(qiáng)登錄安全性（Windows 中的一項(xiàng)新安全功能需要專門的預(yù)裝硬件、驅(qū)動(dòng)程序和固件）的 Windows 用戶可以免受任何“篡改生物識(shí)別管道”的攻擊。然而，Tsarfati 表示，該解決方案可能無(wú)法完全緩解這個(gè)漏洞。

　　根據(jù)我們對(duì)緩解措施的初步測(cè)試，使用具有兼容硬件的增強(qiáng)登錄安全性限制了攻擊面，但依賴于擁有特定攝像頭的用戶，對(duì)于系統(tǒng)設(shè)計(jì)而言，對(duì)來(lái)自外圍設(shè)備的輸入的隱式信任仍然存在。為了更全面地緩解這種固有的信任問(wèn)題，主機(jī)應(yīng)該在信任生物特征認(rèn)證設(shè)備之前驗(yàn)證它的完整性。

　　生物識(shí)別最薄弱環(huán)節(jié)

　　CyberArk的研究人員發(fā)布了一段關(guān)于如何利用該漏洞的概念驗(yàn)證（PoC）的視頻，該視頻可用于消費(fèi)者版本 Windows Hello 和名為 Windows Hello 企業(yè)版 （WHfB） 的企業(yè)版功能企業(yè)使用 ActiveDirectory。

　　繞過(guò)漏洞本身利用了 Windows Hello 生物識(shí)別傳感器的一個(gè)漏洞，它“傳輸信息，操作系統(tǒng)……根據(jù)這些信息做出身份驗(yàn)證決定”。因此，操縱這些信息可能導(dǎo)致繞過(guò)整個(gè)身份驗(yàn)證系統(tǒng)。

　　對(duì)于面部識(shí)別，生物識(shí)別傳感器可以是嵌入在設(shè)備（如筆記本電腦）中的攝像頭，也可以是通過(guò) USB 連接到計(jì)算機(jī)的攝像頭。因此，整個(gè)過(guò)程依賴于這個(gè)攝像頭來(lái)證明身份，這就是漏洞所在，特別是當(dāng)使用 USB 攝像頭進(jìn)行身份驗(yàn)證時(shí)。

　　問(wèn)題就出在輸入本身，在將信息輸入系統(tǒng)之前，只有打字的人才知道鍵盤輸入，而攝像頭輸入則不然。

　　因此，使用攝像頭訪問(wèn)“公共”信息（即人臉）進(jìn)行身份驗(yàn)證很容易被劫持。這類似于竊取密碼，但由于數(shù)據(jù)（人臉）在那里，因此更容易訪問(wèn)。這個(gè)漏洞的核心在于，Windows Hello允許外部數(shù)據(jù)源作為信任的根源，而外部數(shù)據(jù)源可以被操縱。

　　攻擊向量

　　研究人員詳細(xì)介紹了攻擊者捕獲某人圖像、保存捕獲的幀、冒充 USB 攝像頭設(shè)備并最終將這些幀發(fā)送到 Windows hello 系統(tǒng)進(jìn)行驗(yàn)證的稍微復(fù)雜的方法。

　　為了證明這一概念，他們使用 NXP 制造的評(píng)估板創(chuàng)建了一個(gè)自定義 USB 設(shè)備，該設(shè)備用作帶有紅外 （IR） 和紅綠藍(lán) （RGB） 傳感器的 USB 攝像頭。他們使用這個(gè)自定義攝像頭來(lái)傳輸目標(biāo)人物的有效紅外幀，同時(shí)發(fā)送卡通人物海綿寶寶的RGB幀圖像。令研究人員驚訝的是，它奏效了。

　　基于這種原理，攻擊者只需要實(shí)現(xiàn)一個(gè)支持 RGB 和 紅外相機(jī)的 USB 攝像頭，然后只發(fā)送受害者的一個(gè)真正的 IR 幀來(lái)繞過(guò)設(shè)備的登錄階段，而 RGB 幀可以包含任何隨機(jī)圖像。

　　整個(gè)過(guò)程依賴于攻擊者擁有一個(gè)潛在受害者的紅外幀，這可以通過(guò)捕獲一個(gè)或?qū)⒁粋€(gè)人的常規(guī)RBG幀轉(zhuǎn)換為紅外幀來(lái)實(shí)現(xiàn)。

　　研究人員的研究結(jié)果表明，任何USB設(shè)備都可以被復(fù)制，而且任何USB設(shè)備都可以模仿其他USB設(shè)備。我們使用人的 IR 幀來(lái)繞過(guò)人臉識(shí)別機(jī)制。研究人員相信這些 IR 幀可以用常規(guī)的彩色圖像創(chuàng)建出來(lái)。