В мае Microsoft начала создавать новые аккаунты без паролей по умолчанию. Вместо них компания предлагает использовать ключи доступа (passkey) или систему Windows Hello.
Теперь немецкие исследователи Тилльман Освальд (Tillmann Osswald) и доктор Батист Давид (Dr. Baptiste David) на конференции Black Hat в Лас-Вегасе показали, как можно взломать бизнес-версию Windows Hello.
Во время живой демонстрации Давид вошел в систему с помощью распознавания своего лица. Затем Освальд, выступавший в роли атакующего и обладавший правами локального администратора, выполнил несколько строк кода. Он внедрил в биометрическую базу целевого устройства снимок своего лица, сделанный на другом компьютере. Через несколько секунд он просто наклонился к камере — и система без сопротивления разблокировалась, приняв его лицо за лицо Давида.
Работает все следующим образом: в корпоративной среде при первом запуске Windows Hello генерирует пару ключей: приватный и публичный. Публичный ключ регистрируется в системе идентификации компании, такой как Entra ID.
Сами биометрические данные сохраняются в базе данных, управляемой Windows Biometric Service (WBS), и эта база зашифрована. При попытке входа система сверяет живое изображение с шаблоном из базы.
Проблема заключается в том, что в некоторых реализациях шифрование не способно защитить данные от атакующего с правами локального администратора — он может расшифровать и изменить базу.
Технология Enhanced Sign-in Security (ESS) защищает процесс биометрической аутентификации, изолируя его в защищенной среде под управлением гипервизора (используется Virtualization-Based Security).
Но тут есть нюанс: для работы ESS требуется специфическое оборудование:
- Современный 64-битный процессор с поддержкой аппаратной виртуализации
- Чип TPM 2.0
- Включенный Secure Boot
- Специально сертифицированные биометрические датчики
Microsoft требует такой уровень защиты для своей новой линейки Copilot+ ПК , но, как отмечает Освальд, многие существующие компьютеры этим требованиям не соответствуют.
Освальд заявил:
ESS действительно эффективно блокирует такую атаку, но доступна эта защита не всем. Например, мы приобрели ноутбуки ThinkPad около полутора лет назад, и, к сожалению, в них нет защищенного сенсора камеры — потому что они основаны на чипах AMD, а не Intel.
По словам исследователей, полноценное исправление уязвимости практически невозможно без радикального пересмотра архитектуры хранения биометрических данных в системах без ESS.
Если вы используете бизнес-компьютер с Windows Hello и без ESS, рекомендуется полностью отключить биометрию и перейти на использование PIN-кода.
Как узнать, поддерживает ли ваш ПК ESS
Зайдите в Параметры > Учетные записи > Варианты входа. Там может быть переключатель Вход с помощью внешней камеры или сканера отпечатков пальцев.
Когда этот переключатель выключен, ESS активен — это означает, что купленный вами USB-сканер отпечатков пальцев не будет работать для входа в Windows. Если включить переключатель, функция ESS отключается, и внешние устройства начинают работать, но при этом вы теряете дополнительную защиту.
Microsoft отмечает, что некоторые «совместимые с Windows Hello» устройства могут включать ESS, но полноценная поддержка таких внешних устройств ожидается только в конце 2025 года. Пока же — если вы планируете их использовать, подключайте перед первым запуском системы и не отключайте.
Последние статьи #Microsoft
• Microsoft прекращает поддержку приложения Microsoft Lens для iOS и Android
• Хакеры могут обойти Windows Hello с помощью подмены биометрии
• Microsoft выпустила нативное приложение Copilot для Windows 11 и Windows 10. Как установить и получить доступ в России
• Microsoft интегрировала GPT-5 в Copilot и AI-продукты
• Расширенная поддержка Windows 10 ESU теперь охватывает 10 устройств, но требует входа в аккаунт Microsoft
• Следом за Battlefield 6: Call of Duty требует Secure Boot и TPM 2.0 на Windows ПК – для защиты от читеров