Deutsche Sicherheitsforscher zeigen, wie man Windows Hello knackt
Zwei Sicherheitsforscher haben auf der Black Hat-Konferenz eine kritische Sicherheitslücke in Windows Hello demonstriert. Mit wenigen Codezeilen können Angreifer biometrische Daten in die Datenbank einschleusen und sich mit fremden Gesichtern anmelden.
Die Demonstration war verblüffend einfach: Nachdem sich ein Forscher per Gesichtserkennung angemeldet hatte, injizierte der andere mit wenigen Codezeilen und Administratorrechten eine andere biometrische Vorlage in die Systemdatenbank. Das betroffene Gerät akzeptierte das gefälschte Gesicht sofort und entsperrte das System, ohne eine Warnung auszugeben oder externe Signale zu senden, die den betrügerischen Log-in von einem legitimen unterschieden hätten.
Wie The Register berichtet, handelt es sich um ein grundlegendes Problem der Systemarchitektur, das nicht einfach zu beheben ist. Windows Hello für Unternehmen wurde 2015 als Teil von Windows 10 eingeführt und sollte Passwörter durch biometrische Authentifizierung ersetzen. Die Technologie nutzt Infrarot-Kameras für die Gesichtserkennung und Fingerabdrucksensoren, um kryptografische Schlüssel zu generieren, die in einer lokalen Datenbank gespeichert werden.
Das Problem liegt in der grundlegenden Architektur: Windows Hello muss biometrische Vorlagen lokal speichern, um schnelle Authentifizierung zu ermöglichen. Diese Datenbank ist jedoch für Administratoren zugänglich, was den Angriff ermöglicht. Eine vollständige Verlagerung in das TPM würde die Kompatibilität mit vielen bestehenden Systemen beeinträchtigen und könnte Performance-Probleme verursachen.
ESS erfordert spezialisierte Hardware, Treiber und Firmware, die vom Gerätehersteller vorinstalliert werden müssen. Alle Copilot+ PCs haben ESS standardmäßig aktiviert. Die Technologie nutzt Microsofts Virtualization-based Security (VBS) und Hypervisor-protected Code Integrity (HVCI), um biometrische Sensoren in einer isolierten Umgebung zu betreiben.
ESS unterstützt jedoch keine externen Fingerabdrucksensoren oder Kamera-Module. Mit aktiviertem ESS werden externe biometrische Sensoren blockiert, unabhängig davon, ob sie sicher sind oder nicht. Für Systeme ohne ESS empfehlen die Forscher, die Biometrie zu deaktivieren und stattdessen eine PIN für die Anmeldung zu verwenden.
Was denkt ihr über diese Sicherheitslücke? Nutzt ihr Windows Hello in eurem Unternehmen und plant ihr Änderungen an eurer Konfiguration? Teilt eure Erfahrungen in den Kommentaren mit.
Siehe auch:
Schwere Sicherheitslücke in Windows Hello entdeckt
Deutsche Sicherheitsexperten haben auf der Black-Hat-Konferenz in Las Vegas eine kritische Schwachstelle in Microsofts Windows Hello für Unternehmen aufgezeigt. Baptiste David und Tillmann Osswald von ERNW Research demonstrierten live, wie Angreifer mit lokalen Administratorrechten biometrische Daten in ein System einschleusen können, um sich mit beliebigen Gesichtern oder Fingerabdrücken anzumelden.Die Demonstration war verblüffend einfach: Nachdem sich ein Forscher per Gesichtserkennung angemeldet hatte, injizierte der andere mit wenigen Codezeilen und Administratorrechten eine andere biometrische Vorlage in die Systemdatenbank. Das betroffene Gerät akzeptierte das gefälschte Gesicht sofort und entsperrte das System, ohne eine Warnung auszugeben oder externe Signale zu senden, die den betrügerischen Log-in von einem legitimen unterschieden hätten.
Wie The Register berichtet, handelt es sich um ein grundlegendes Problem der Systemarchitektur, das nicht einfach zu beheben ist. Windows Hello für Unternehmen wurde 2015 als Teil von Windows 10 eingeführt und sollte Passwörter durch biometrische Authentifizierung ersetzen. Die Technologie nutzt Infrarot-Kameras für die Gesichtserkennung und Fingerabdrucksensoren, um kryptografische Schlüssel zu generieren, die in einer lokalen Datenbank gespeichert werden.
Architekturproblem ohne einfache Lösung
Windows Hello für Unternehmen speichert kryptografische Schlüssel in einer Datenbank, die mit Microsofts Windows Biometric Service verknüpft ist. Obwohl CryptProtectData die Datenbank schützt, können Angreifer mit lokalen Administratorrechten die Verschlüsselung mithilfe von Informationen aus der Software umgehen. Die Forscher warnen, dass eine Behebung schwierig sei und eine erhebliche Code-Überarbeitung oder die Nutzung des TPM-Moduls zur Speicherung der biometrischen Daten erfordern würde - was möglicherweise nicht umsetzbar ist.Das Problem liegt in der grundlegenden Architektur: Windows Hello muss biometrische Vorlagen lokal speichern, um schnelle Authentifizierung zu ermöglichen. Diese Datenbank ist jedoch für Administratoren zugänglich, was den Angriff ermöglicht. Eine vollständige Verlagerung in das TPM würde die Kompatibilität mit vielen bestehenden Systemen beeinträchtigen und könnte Performance-Probleme verursachen.
Enhanced Sign-in Security
Microsoft bietet mit Enhanced Sign-in Security (ESS) eine Lösung, die auf einer höheren Hypervisor-Vertrauensebene arbeitet und den Angriff blockieren sollte. Diese Funktion ist standardmäßig aktiviert, aber nicht alle PCs unterstützen sie. "ESS ist sehr effektiv beim Blockieren dieses Angriffs, aber nicht jeder kann es nutzen", erklärte Osswald gegenüber The Register. "Wir haben beispielsweise vor anderthalb Jahren ThinkPads gekauft, die leider keinen sicheren Sensor für die Kamera haben, da sie AMD-Chips und nicht Intel verwenden."ESS erfordert spezialisierte Hardware, Treiber und Firmware, die vom Gerätehersteller vorinstalliert werden müssen. Alle Copilot+ PCs haben ESS standardmäßig aktiviert. Die Technologie nutzt Microsofts Virtualization-based Security (VBS) und Hypervisor-protected Code Integrity (HVCI), um biometrische Sensoren in einer isolierten Umgebung zu betreiben.
ESS unterstützt jedoch keine externen Fingerabdrucksensoren oder Kamera-Module. Mit aktiviertem ESS werden externe biometrische Sensoren blockiert, unabhängig davon, ob sie sicher sind oder nicht. Für Systeme ohne ESS empfehlen die Forscher, die Biometrie zu deaktivieren und stattdessen eine PIN für die Anmeldung zu verwenden.
Was denkt ihr über diese Sicherheitslücke? Nutzt ihr Windows Hello in eurem Unternehmen und plant ihr Änderungen an eurer Konfiguration? Teilt eure Erfahrungen in den Kommentaren mit.
Zusammenfassung
- Deutsche Forscher entdecken eine kritische Schwachstelle in Windows Hello
- Mit Admin-Rechten können gefälschte biometrische Daten eingeschleust werden
- Die Schwachstelle erlaubt Anmeldung mit beliebigen Gesichtern und Abdrücken
- Problem liegt in der grundlegenden Architektur der lokalen Datenspeicherung
- Microsofts Enhanced Sign-in Security kann den Angriff effektiv blockieren
- ESS benötigt spezielle Hardware und funktioniert nicht mit externen Sensoren
- Als Alternative empfehlen die Experten PIN-Anmeldung statt Biometrie
Siehe auch:
- Windows Hello: Microsoft schränkt Entsperrfunktion via Update stark ein
- Microsoft überarbeitet das Anmelden in Windows 11 per Windows Hello
- Windows Hello: Fingerabdruckleser geknackt - im Auftrag von Microsoft
- Windows Hello: Authentifizierung mit einer Fake-Kamera umgangen
- Kensington kündigt neuen "Windows Hello"-Fingerabdruckleser an
Thema:
Windows 11 Pro im Preisvergleich
IT-Hardpulse 
Mysoftware 
Systeme Software24 
Myoem 
Klp-soft Neue Windows 11-Downloads
Beliebte Windows 11-Downloads
Windows 11-Videos
-
So wird Windows 11 24H2 auf nicht unterstützter Hardware installiert
-
Windows 11 vom USB-Stick installieren: Schnell und einfach erledigt
-
Windows 11: So geht das Backup vorinstallierter Treiber beim Neu-PC
-
Windows 11: Installationsmedium mit eigenen Treibern - so geht's
-
Ayaneo Kun: Vielseitiger Gaming-Handheld mit Windows 11 im Test
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 11 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- Optionales Windows-11-Update mit neuer Wiederherstellung gestartet
- Neue Ikea-Smart-Home-Produkte aufgetaucht - das soll bald kommen
- Preis-Kracher im Vodafone-Netz: 70 GB Allnet-Flat für nur 9,99 Euro
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- AMD bestätigt Probleme mit FSR-Treiber 26.6.2 auf vielen Windows-PCs
- Apple startet iOS 27 Beta 2 und zeigt, was Nutzer ab Herbst erwartet
- Samsung Galaxy Z Flip8, Fold8 & Fold8 Ultra: Infos zu Farben & Speicher
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen