В мае Microsoft начала создавать новые аккаунты без паролей по умолчанию. Вместо них компания предлагает использовать ключи доступа (passkey) или систему Windows Hello.
Теперь немецкие исследователи Тилльман Освальд (Tillmann Osswald) и доктор Батист Давид (Dr. Baptiste David) на конференции Black Hat в Лас-Вегасе показали, как можно взломать бизнес-версию Windows Hello.
Во время живой демонстрации Давид вошел в систему с помощью распознавания своего лица. Затем Освальд, выступавший в роли атакующего и обладавший правами локального администратора, выполнил несколько строк кода. Он внедрил в биометрическую базу целевого устройства снимок своего лица, сделанный на другом компьютере. Через несколько секунд он просто наклонился к камере — и система без сопротивления разблокировалась, приняв его лицо за лицо Давида.
Работает все следующим образом: в корпоративной среде при первом запуске Windows Hello генерирует пару ключей: приватный и публичный. Публичный ключ регистрируется в системе идентификации компании, такой как Entra ID.
Сами биометрические данные сохраняются в базе данных, управляемой Windows Biometric Service (WBS), и эта база зашифрована. При попытке входа система сверяет живое изображение с шаблоном из базы.
Проблема заключается в том, что в некоторых реализациях шифрование не способно защитить данные от атакующего с правами локального администратора — он может расшифровать и изменить базу.
Технология Enhanced Sign-in Security (ESS) защищает процесс биометрической аутентификации, изолируя его в защищенной среде под управлением гипервизора (используется Virtualization-Based Security).
Но тут есть нюанс: для работы ESS требуется специфическое оборудование:
- Современный 64-битный процессор с поддержкой аппаратной виртуализации
- Чип TPM 2.0
- Включенный Secure Boot
- Специально сертифицированные биометрические датчики
Microsoft требует такой уровень защиты для своей новой линейки Copilot+ ПК , но, как отмечает Освальд, многие существующие компьютеры этим требованиям не соответствуют.
Освальд заявил:
ESS действительно эффективно блокирует такую атаку, но доступна эта защита не всем. Например, мы приобрели ноутбуки ThinkPad около полутора лет назад, и, к сожалению, в них нет защищенного сенсора камеры — потому что они основаны на чипах AMD, а не Intel.
По словам исследователей, полноценное исправление уязвимости практически невозможно без радикального пересмотра архитектуры хранения биометрических данных в системах без ESS.
Если вы используете бизнес-компьютер с Windows Hello и без ESS, рекомендуется полностью отключить биометрию и перейти на использование PIN-кода.
Как узнать, поддерживает ли ваш ПК ESS
Зайдите в Параметры > Учетные записи > Варианты входа. Там может быть переключатель Вход с помощью внешней камеры или сканера отпечатков пальцев.
Когда этот переключатель выключен, ESS активен — это означает, что купленный вами USB-сканер отпечатков пальцев не будет работать для входа в Windows. Если включить переключатель, функция ESS отключается, и внешние устройства начинают работать, но при этом вы теряете дополнительную защиту.
Microsoft отмечает, что некоторые «совместимые с Windows Hello» устройства могут включать ESS, но полноценная поддержка таких внешних устройств ожидается только в конце 2025 года. Пока же — если вы планируете их использовать, подключайте перед первым запуском системы и не отключайте.
Последние статьи #Microsoft
• Microsoft AI представила MAI-Image-1 – свой первый собственный генератор изображений
• Неофициальный способ продления поддержки Windows 10 ESU до 2028 года с помощью скрипта TSforge (MAS)
• KB5068164: Обновление среды восстановления Windows (WinRE) для Windows 10, версий 21H2 и 22H2
• Microsoft: Поддержка Windows 10 завершена
• «Вторник Патчей», октябрь 2025: Microsoft исправила 172 проблемы безопасности, в том числе шесть уязвимостей «нулевого дня»
• Обновление KB5066791 (Build 19045.6456) для Windows 10, версия 22H2. Завершена поддержка Windows 10 Домашняя и Pro