Vingerafdrukcontrole Windows Hello op laptops Dell, Lenovo en Microsoft omzeild

[Captain Kirk]

Onderzoekers zijn erin geslaagd om op drie verschillende laptops van Dell, Lenovo en Microsoft de vingerafdrukcontrole van Windows Hello te omzeilen. Via Windows Hello kunnen gebruikers onder andere door een scan van de vingerafdruk inloggen. Microsoft betaalde onderzoekers van securitybedrijf Blackwing om te onderzoeken of het mogelijk was de authenticatie te omzeilen. Bij alle drie de laptops (Dell Inspiron 15, Lenovo ThinkPad T14 en Microsoft Surface Pro Type Cover met Fingerprint ID) blijkt dat het geval.

De vingerafdruksensors waarop de onderzoekers het hadden voorzien maken gebruik van een 'match on chip' of MoC, in plaats van 'match on host'. MoC-sensoren beschikken over een op de chip ingebouwde microprocessor en opslag. Daardoor vindt de vingerafdrukcontrole op de chip plaats. Een database met 'vingerafdruk templates' (de biometrische data die door de vingerafdruksensor is verkregen) wordt op de chip opgeslagen en het aanmelden van een vingerafdruk vindt direct plaats op de chip.

Doordat de vingerafdruk-templates nooit de chip verlaten moet dit het risico wegnemen dat biometrisch materiaal opgeslagen op het host-systeem wordt gestolen als de host wordt gecompromitteerd. Deze aanpak moet ook voorkomen dat een aanvaller een afbeelding van een geldige vingerafdruk naar de host stuurt om te laten controleren en zo de authenticatie te omzeilen.

MoC-sensoren zijn echter kwetsbaar voor spoofing- en relay-aanvallen. Om dit tegen te gaan bedacht Microsoft het Secure Device Connection Protocol (SDCP). Het protocol moet ervoor zorgen dat de vingerafdruksensor wordt vertrouwd en in goede conditie is en dat de invoer tussen de sensor en host wordt beschermd. Het eerste dat de onderzoekers ontdekten was dat SDCP op twee van de drie laptops niet was ingeschakeld.

Daarnaast bleek het bij alle drie de laptops mogelijk Windows Hello te misleiden. In het geval van de Dell-laptop blijkt dat de chip twee databases bijhoudt voor Windows en Linux. Door middel van een man-in-the-middle-aanval, waarbij de vingerafdruksensor wordt losgekoppeld en vervangen door een Raspberry Pi, is het mogelijk geldige vingerafdrukken in de Windows-database te enumereren.

Vervolgens voegt de aanvaller zijn vingerafdruk als een geldige Windows-gebruiker toe aan de Linux-database. Daarna wordt er een configuratie packet naar de sensor gestuurd om voortaan de Linux-database te gebruiken. De aanvaller kan zo met zijn eigen vingerafdruk als een geldige Windows-gebruiker inloggen. Ook de Lenovo- en Microsoft-laptop zijn door middel van spoofing-aanvallen te misleiden. De onderzoekers doen fabrikanten verschillende aanbevelingen, waaronder het inschakelen van SDCP.

 

bron: https://www.security.nl