Аутентификацию Windows Hello по пальцу можно обойти на ряде ноутбуков

Екатерина Быстрова 23 Ноября 2023 - 09:36

Общее

Windows

Microsoft

Системы аутентификации

Биометрические системы аутентификации

Уязвимости программ

...

Аутентификацию Windows Hello по пальцу можно обойти на ряде ноутбуков

Исследователям в области кибербезопасности удалось обойти аутентификацию Windows Hello по сканированию отпечатка пальца на ноутбуках Dell Inspiron, Lenovo ThinkPad и Microsoft Surface Pro X. Для этого использовался ряд уязвимостей во встроенных датчиках сканирования.

Бреши нашла команда Blackwing Intelligence, исследования которой спонсировала Microsoft Offensive Research and Security Engineering (MORSE).

Эксперты специально сосредоточились на трёх топовых сканерах отпечатков пальцев, которые разрабатывают компании ELAN, Synaptics и Goodix. Именно они установлены в лэптопах Microsoft Surface Pro X, Lenovo ThinkPad T14 и Dell Inspiron 15.

Все проверенные датчики отпечатков пальцев оснащены собственным микропроцессором и хранилищем (Match-on-Chip, MoC), что позволяет максимально безопасно сверять опечатки внутри чипа.

Тем не менее надо учитывать, что MoC-датчики не могут воспрепятствовать работе вредоносной копии, имитирующей легитимный датчик при связи с хостом. Такой недочёт приводит к успешной аутентификации при перехвате и воспроизведении трафика, которым обмениваются хост и датчик.

Для борьбы с подобным атаками Microsoft разработала протокол Secure Device Connection (SDCP). Его задача — убедиться, что сканирующему отпечаток пальца устройству можно доверять.

Однако специалистам удалось обойти аутентификацию Windows Hello с помощью всем известного метода — «Человек посередине» (man-in-the-middle, MiTM). В ходе тестирования эксперты использовали специальное устройство Raspberry Pi 4 на Linux.

Исследователи задействовали как софтовый, так и аппаратный обратный инжиниринг, расшифровывали и повторно имплементировали проприетарные протоколы.

На устройствах Dell и Lenovo обойти аутентификацию удалось с помощью перебора действительных идентификаторов и регистрации отпечатка пальца условного атакующего с ID пользователя Windows. Проблема заключается в том, что датчик Synaptics задействует кастомный стек TLS вместо SDCP для защиты USB-соединения.

Что касается Surface, помог спуфинг датчика после отсоединения Type Cover и отправка валидных ответов на вход. Здесь проблема крылась в датчике ELAN, который не реализует защиту SDCP и использует USB-связь в открытом виде.

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Екатерина Быстрова 27 Января 2026 - 10:18

Соответствие законодательству РФ Корпорации Сетевая безопасность Защита контейнерных сред (Container Security)Соответствие требованиям регуляторов

ФСТЭК России сертифицировала решения «Базиса» по контейнеризации

Компания «Базис», российский разработчик ПО для управления динамической ИТ-инфраструктурой, получила сертификаты ФСТЭК России сразу для двух своих продуктов — платформы управления контейнерами Basis Digital Energy и решения для защиты информации в виртуализированных и контейнерных средах Basis Virtual Security. Информация о сертификации уже внесена в Государственный реестр сертифицированных средств защиты.

Для Basis Virtual Security это не первая сертификация — продукт проходит инспекционный контроль ФСТЭК уже пять лет подряд. При этом новый сертификат оказался заметно шире предыдущего. Если раньше соответствие подтверждалось только по требованиям к средствам виртуализации, то теперь решение дополнительно отвечает требованиям приказа №118, который распространяется и на средства контейнеризации.

А вот для Basis Digital Energy сертификация стала первой. Получить её удалось после доработок платформы, направленных как на расширение функциональности, так и на усиление встроенных механизмов безопасности.

По итогам проверки оба решения подтвердили соответствие 4-му уровню доверия по общим требованиям к средствам технической защиты информации и 4-му классу защиты по требованиям к средствам контейнеризации. Для Basis Virtual Security этот класс защиты также распространяется и на виртуализацию.

В Basis Virtual Security реализованы механизмы управления доступом, единый вход (SSO), многофакторная аутентификация, контроль целостности, изоляция контейнеров, выявление уязвимостей и подробная регистрация событий. Basis Digital Energy, в свою очередь, использует ролевую модель доступа (RBAC), SSO, инструменты проверки политик в кластере, централизованное управление сертификатами и контроль конфигураций.

Полученные сертификаты расширяют сценарии использования продуктов. Теперь их можно применять не только в защищённых виртуализированных средах, но и при построении инфраструктур на базе контейнерных технологий — в том числе в наиболее чувствительных сегментах. Речь идёт об объектах КИИ до первой категории значимости, государственных информационных системах до первого класса защищённости, системах обработки персональных данных до первого уровня и АСУ ТП до первого класса.

Технический директор «Базиса» Дмитрий Сорокин отметил, что соответствие актуальным требованиям ФСТЭК потребовало серьёзных усилий и выстроенных процессов безопасной разработки, в том числе при участии ИСП РАН. По его словам, результат подтверждает зрелость продуктов и их готовность использоваться в динамичной и при этом защищённой ИТ-инфраструктуре.

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »