CyberArk Labs ha publicado una nueva investigación sobre una importante vulnerabilidad en Windows Hello que permite a un atacante eludir la autenticación de reconocimiento facial en el dispositivo. A la vulnerabilidad se le asignó un CVE (puntuación) y se corrigió tras el anuncio de nuevos parches por parte de Microsoft.
Tras descubrir la sofisticada técnica GoldenSAML, que los atacantes de SolarWinds utilizaron para perpetrar uno de los ataques a la cadena de suministro más elaborados de la historia, CyberArk Labs ha confirmado con esta prueba de concepto cómo omitir el reconocimiento facial para la autenticación puede tener un impacto similar en las campañas de espionaje dirigidas en todo el mundo.
Según Microsoft, el 85% de los usuarios de Windows 10 usan Windows Hello para la autenticación sin contraseña. El equipo de investigación de CyberArk encontró una manera de manipular los aspectos de seguridad detrás del mecanismo de reconocimiento facial que usa Windows Hello, a través de una cámara USB personalizada y una foto del usuario objetivo. El objetivo de los investigadores era Windows Hello, pero parece que la prueba de concepto tiene implicaciones para cualquier sistema de autenticación que permita que una cámara USB conectable de terceros actúe como sensor biométrico.
Como muestra la investigación, este tipo de ataque es muy relevante para el espionaje dirigido, donde se conoce al objetivo y se requiere acceso físico a un dispositivo. Este sería un ataque muy efectivo contra un investigador, científico, periodista, activista o cualquier otra persona que tenga una dirección IP en su dispositivo.
Comentario de Omer Tsarfati, del equipo de investigación cibernética de CyberArk y autor de la investigación: “según nuestras pruebas, el uso de seguridad de inicio de sesión mejorada con hardware compatible limita la superficie de ataque, pero depende de que los usuarios tengan determinadas cámaras. Para mitigar este problema de confianza inherente de manera más completa, el host debe validar la integridad del dispositivo de autenticación biométrica antes de confiar en él”.