Beheer

Windows
Windows

'Windows Hello-kwetsbaarheid niet opgelost met fix in Patch Tuesday'

CyberArk: Patch lost probleem deels op, maar nog steeds problemen gevonden.

© Microsoft
15 juli 2021

CyberArk: Patch lost probleem deels op, maar nog steeds problemen gevonden.

Microsoft heeft tijdens de afgelopen Patch Tuesday onder meer een fix uitgebracht voor een probleem in Windows Hello. Deze kwetsbaarheid zorgde ervoor dat aanvallers de gezichtsherkenning voor authenticatie kunnen omzeilen. Maar onderzoekers van CyberArk Labs menen dat de patch het probleem niet helemaal oplost.

Windows Hello laat gebruikers inloggen op Windows 10 met gezichtsherkenning, zodat ze geen wachtwoord in hoeven te voeren. CyberArk Labs ontdekte echter dat er een kwetsbaarheid in het systeem zit: via een speciale USB-camera en een foto van een gebruiker is het mechanisme te omzeilen. Daarvoor heeft een aanvaller wel fysiek toegang nodig tot een apparaat. Het probleem werd gemeld bij Microsoft, dat de kwetsbaarheid een CVSS-score van 5,7 op een schaal van 10 geeft. 

Patch dicht gat niet

Tijdens Patch Tuesday rolde Microsoft ook een oplossing uit voor het probleem. Maar CyberArk Labs is er dus niet van overtuigd dat het lek daarmee ook volledig gedicht is. "Afgaand op de eerste testen die we hebben gedaan na de tegenmaatregelen, zien we nog steeds enkele problemen", zegt security researcher Omer Tsarfati. 

"Door gebruik te maken van Enhanced Sign-in Security met compatible hardware wordt de attack surface weliswaar verkleind, maar het hangt af van welke camera’s gebruikers hebben. Het systeem is zo ontworpen dat er impliciet vanuit wordt gegaan dat de input van randapparatuur betrouwbaar is. Om dit probleem verder aan te pakken, moet de host de integriteit van het apparaat voor biometrische authenticatie valideren, voordat het als vertrouwd wordt gezien. We zetten ons onderzoek voort.”

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.