Il sistema di autenticazione biometrica Windows Hello è stato bypassato dagli hacker sfruttando una vulnerabilità.

Windows Hello bucato dagli hacker

Windows Hello è la funzionalità di Windows 10 e 11 che consente di loggarsi nel proprio PC sfruttando sensori biometrici come lettori di impronte o fotocamere a infrarossi che riconoscono il volto o l’iride. Quest’ultimo è ormai supportato dal 90 % dei nuovi PC in commercio, per tanto diventerebbe un enorme problema se potesse essere sfruttato dagli hacker. La vulnerabilità CVE-2021-34466 scoperta è stata descritta dai ricercatori di CyberArk nel dettaglio.

Negli ultimi mesi il team di ricerca di CyberArk Labs ha esplorato potenziali punti deboli del sistema nella speranza di rafforzare la sicurezza biometrica in generale. Il risultato è stata la scoperta di un difetto di progettazione che consente a un avversario di aggirare il riconoscimento facciale di Windows Hello. La vulnerabilità consente a un utente malintenzionato con accesso fisico al dispositivo di manipolare il processo di autenticazione acquisendo o ricreando una foto del volto del bersaglio e successivamente collegando un dispositivo USB personalizzato per iniettare le immagini contraffatte all’host di autenticazione. Non abbiamo prove che questo attacco sia stato utilizzato in natura, ma potrebbe essere utilizzato da un aggressore motivato per prendere di mira un ricercatore, scienziato, giornalista, attivista o utente privilegiato con IP sensibile sul proprio dispositivo, ad esempio.

Sebbene la nostra ricerca fosse specifica per Windows Hello e soprattutto per l’offerta aziendale, Windows Hello for Business, è importante notare che potenzialmente qualsiasi sistema di autenticazione che consente a una fotocamera USB di terze parti collegabile di fungere da sensore biometrico potrebbe essere suscettibile a questo attacco senza mitigazione adeguata.

Potete vedere una dimostrazione pratica dello sfruttamento della falla di Windows Hello non corretta nel video in alto. Fortunatamente Microsoft ha già corretto la falla pochi giorni fa con il rilascio delle ultime patch di sicurezza di luglio.

Se ancora non lo aveste fatto, potete dotare il vostro vecchio PC del supporto a Windows Hello – per maggiori dettagli vi rimandiamo al nostro articolo dedicato qui in basso.

Come aggiungere Windows Hello al vostro PC – soluzioni per tutte le tasche

Utilizzate Windows Hello su Windows? Che ne pensate? Raccontateci la vostra esperienza nei commenti.

Articolo di Windows Blog Italia
Fonte | MSPoweruser