A necessidade de segurança no Windows 11 é constante e a Microsoft sabe disso. Por isso tem ferramentas de proteção e de controlo no acesso ao seu sistema. O bem conhecido Windows Hello trata da autenticação biométrica e terá um problema. É simples enganar este elemento e uma solução pode ser complicada de criar.
É simples enganar o Windows Hello da Microsoft
Um novo ataque do Windows Hello permite que um administrador local ignore a autenticação biométrica e aceda a contas empresariais; a Microsoft confirma a vulnerabilidade e recomenda cautela. Investigadores de segurança descobriram uma vulnerabilidade crítica no Windows Hello for Business, o sistema de autenticação biométrica da Microsoft.
A vulnerabilidade foi apresentada na conferência Black Hat, nos Estados Unidos, sob uma técnica chamada FacePlant. Esta permite aos atacantes com privilégios administrativos ignorar a autenticação usando o rosto ou a impressão digital e aceder a contas empresariais sem necessitar de credenciais legítimas.
O ataque não engana a câmara nem explora falhas de hardware, mas sim a forma como o Windows Hello armazena e verifica os dados biométricos. O ataque começa com a criação de um perfil biométrico do atacante em qualquer dispositivo Windows. Isto gera um modelo digital do seu rosto, que é depois desencriptado, extraído e inserido na base de dados biométrica do sistema alvo.
Problema grave na segurança da autenticação biométrica
Depois de o modelo ser substituído, o atacante pode efetuar o login usando somente o seu próprio rosto, personificando assim o utilizador original. Esta técnica permite que o modelo seja preparado em qualquer máquina antes de estar no sistema da vítima.
O problema está na forma como o Windows integra estes dados com o Login ID e a Active Directory. Ambora a informação biométrica esteja protegida por mecanismos de segurança, um administrador local pode quebrar esta proteção e implementar novos dados. A Microsoft confirmou esta vulnerabilidade, embora tenha esclarecido que exige que o atacante já tenha acesso administrativo prévio.
Os especialistas acreditam que corrigir completamente a falha exigiria uma grande reformulação do Windows Hello ou mover mais processamento biométrico para proteger o hardware. As organizações são encorajadas a considerar o regresso à autenticação por PIN, que é mais segura nas condições atuais, embora menos conveniente do que o login biométrico.
