ブラックハットマイクロソフトは、Windows ユーザーにパスワードの使用から Hello 生体認証システムへの移行を強く勧めているが、ドイツ政府が支援する研究者らが、そのビジネス実装に重大な欠陥を発見した。
ラスベガスで開催されたブラックハットカンファレンスでのプレゼンテーションで、独立系セキュリティ企業ERNW Enno Rey Netzwerkeのバティスト・デイビッド博士とティルマン・オスワルド氏は、Helloシステムをクラックし、ローカル管理者、またはマルウェアなどの手段で認証情報にアクセスできる人物が、コンピューターに生体認証情報を挿入して顔や指紋を認識できるようにする方法を実演した。
Helloはビジネスユーザー向けの認証をサポートしており、企業のPCをEntra IDやActive Directoryなどのプラットフォームに連携させてサーバーへのアクセスを可能にします。これは、MicrosoftのWindows Biometric Serviceに連携するデータベースに暗号鍵を保存することで実現されます。
- 4月のパッチ火曜日、不運なWindows Helloユーザーがログインできなくなる
- テスト済み:Microsoft Recallは依然としてクレジットカードやパスワードをキャプチャ可能、これは犯罪者にとっての宝庫
- マイクロソフトは顧客にパスキーのプッシュを拒否する権限を与えない
- Windows Hello を中指立てて、盗まれたノートパソコンで他人としてログインする方法
CryptProtectData はデータベースを保護しますが、2 人は、ローカル管理者アクセス権を持つユーザーがソフトウェア内の情報を使用して暗号化を解読できることを発見しました。
ただし、Microsoft には拡張サインインセキュリティ(ESS)も用意されており、これはより高いハイパーバイザー仮想信頼レベル(VTL1)で動作し、攻撃をブロックするはずで、デフォルトで有効になっています。ただし、残念ながらすべての PC でサポートされているわけではありません。
「ESSはこの攻撃をブロックするのに非常に効果的ですが、誰もが使えるわけではありません」とオスワルド氏はThe Registerに語った。「例えば、私たちは約1年半前にThinkPadを購入しましたが、残念ながらIntel製ではなくAMD製のチップを使用しているため、カメラ用の安全なセンサーが搭載されていません。」
バティスト・デイヴィッドとティルマン・オスワルドがシステムを実演 - クリックして拡大
二人はステージ上でこの脆弱性を実演しました。デビッドが顔認証でログインすると、オズワルドは数行のコードで別のマシンで作成したHelloの顔認証データをデータベースに挿入し、デビッドのマシンのロックを瞬時に解除することができました。
修正は困難で、コードの大幅な書き換えが必要になるか、TPMモジュールを使って生体認証データを保存しようとすると、おそらく不可能になるだろうと彼らは述べています。ESSを使わずにHello for Businessを使用している場合は、生体認証を無効にしてPINを使ったログインを続けることを推奨しています。
Microsoftは、この調査結果に関する問い合わせに対し、すぐには回答していません。回答があった場合は、この情報を更新します。
ドイツ連邦情報技術セキュリティ庁は、「Windows Dissect」と名付けられた2年間の研究プログラムに資金を提供し、来春に終了する予定です。さらなる発見が期待されるとのことです。®
