ช่องโหว่ใหม่ในเซ็นเซอร์ลายนิ้วมือทำให้ผู้โจมตี Bypass การเข้าสู่ระบบ Windows Hello authentication ได้

การวิจัยล่าสุดได้ค้นพบช่องโหว่หลายประการที่สามารถใช้ประโยชน์เพื่อ bypass การตรวจสอบตัวตนของ Windows Hello authentication บนแล็ปท็อป Dell Inspiron 15, Lenovo ThinkPad T14 และ Microsoft Surface Pro X

ช่องโหว่นี้ถูกพบโดยนักวิจัยที่ Blackwing Intelligence ซึ่งเป็นบริษัทด้านความปลอดภัยของผลิตภัณฑ์ฮาร์ดแวร์ และซอฟต์แวร์ และงานวิจัยเชิงรุก ซึ่งพบช่องโหว่ในเซ็นเซอร์ลายนิ้วมือจาก Goodix, Synaptics และ ELAN ที่ฝังอยู่ในอุปกรณ์

เงื่อนไขที่ต้องการสำหรับการโจมตีเครื่องอ่านลายนิ้วมือนี้คือ ผู้ใช้งานของโน้ตบุ๊กที่เป็นเป้าหมายต้องมีการตั้งค่าการตรวจสอบตัวตนด้วยลายนิ้วมือแล้ว

เซ็นเซอร์ลายนิ้วมือทั้งหมดเป็นเซ็นเซอร์ประเภทหนึ่งที่ชื่อว่า "match on chip" (MoC) ซึ่งรวมฟังก์ชันการจับคู่ และการจัดการ biometric อื่น ๆ เข้ากับวงจรรวมของเซ็นเซอร์โดยตรง

นักวิจัย Jesse D'Aguanno และ Timo Teräs ระบุว่า "ในขณะที่ MoC ป้องกันการทำซ้ำของข้อมูลลายนิ้วมือที่เก็บไว้กับโฮสต์เพื่อการ matching แต่ในตัวมันเองไม่ได้ป้องกันเซ็นเซอร์ที่เป็นอันตรายจากการปลอมแปลงเป็นเซ็นเซอร์ที่ถูกต้องกับโฮสต์ และแอบอ้างว่าเป็นผู้ใช้ที่ได้รับอนุญาต และได้ผ่านการรับรองความถูกต้องสำเร็จแล้ว"

MoC ยังไม่สามารถป้องกันการทำซ้ำของการรับส่งข้อมูลที่บันทึกไว้ก่อนหน้านี้ระหว่างโฮสต์ และเซ็นเซอร์

แม้ว่า Secure Device Connection Protocol (SDCP) ที่สร้างโดย Microsoft มีจุดมุ่งหมายเพื่อแก้ปัญหาเหล่านี้ โดยการสร้างช่องทางที่ปลอดภัยแบบ end-to-end แต่ผู้วิจัยได้ค้นพบวิธีการใหม่ที่สามารถใช้เพื่อหลีกเลี่ยงการป้องกันเหล่านี้ และทำให้เกิดการโจมตีแบบ adversary-in-the-middle (AitM) ได้

โดยเฉพาะเซ็นเซอร์ ELAN พบว่ามีความง่ายต่อการปลอมแปลงเซ็นเซอร์ที่เกิดจากการขาดการรองรับ SDCP และการส่ง Security Identifiers (SIDs) ในรูปแบบ cleartext ซึ่งช่วยให้อุปกรณ์ USB ใด ๆ สามารถแอบอ้างเป็นเซ็นเซอร์ลายนิ้วมือ และอ้างว่าเป็นผู้ใช้ที่ได้รับอนุญาตกำลังเข้าสู่ระบบ

ในกรณีของ Synaptics ไม่เพียงแต่พบว่า SDCP ถูกปิดใช้งานโดยค่าเริ่มต้น แต่การใช้งานยังเลือกที่จะ custom Transport Layer Security (TLS) stack ที่มีช่องโหว่เพื่อรักษาการสื่อสาร USB ระหว่าง host driver และเซ็นเซอร์ที่สามารถใช้ประโยชน์เพื่อหลีกเลี่ยงการรับรองความถูกต้องของ biometric ได้

การใช้ประโยชน์จากเซ็นเซอร์ Goodix นั้นใช้ประโยชน์จากความแตกต่างพื้นฐานในการดำเนินการลงทะเบียนที่ดำเนินการบนเครื่อง ที่มีทั้ง Windows และ Linux โดยใช้ประโยชน์ที่ว่าระบบปฏิบัติการ Linux ไม่รองรับ SDCP เพื่อดำเนินการต่อไปนี้:

  • Boot to Linux
  • ระบุหมายเลข ID ที่ถูกต้อง
  • ลงทะเบียนลายนิ้วมือของผู้โจมตีด้วย ID เดียวกับผู้ใช้ Windows ที่ถูกต้อง
  • ดักจับการเชื่อมต่อระหว่างโฮสต์ และเซ็นเซอร์โดยใช้การสื่อสาร USB แบบ cleartext
  • Boot to Windows
  • ถอดรหัส และเขียนทับ configuration packet เพื่อชี้ไปที่ Linux DB โดยใช้วิธี MitM
  • เข้าสู่ระบบโดยใช้ลายนิ้วมือของผู้โจมตีในฐานะผู้ใช้ที่ถูกต้อง

เป็นที่น่าสังเกตว่าแม้ว่าเซ็นเซอร์ Goodix จะมีฐานข้อมูล Template ลายนิ้วมือแยกต่างหากสำหรับระบบ Windows และระบบที่ไม่ใช่ Windows แต่การโจมตีนี้เป็นไปได้เนื่องจาก host driver ส่ง configuration packet ที่ไม่ได้รับการรับรองไปยังเซ็นเซอร์เพื่อระบุฐานข้อมูลที่จะใช้ระหว่างการเริ่มต้นการทำงานของเซ็นเซอร์

เพื่อลดความเสี่ยงจากการโจมตีนี้ แนะนำให้ original equipment manufacturers (OEMs) เปิดใช้งาน SDCP และตรวจสอบให้แน่ใจว่าการติดตั้งเซ็นเซอร์ลายนิ้วมือได้รับการตรวจสอบโดยผู้เชี่ยวชาญแล้ว

เหตุการณ์นี้ไม่ใช่ครั้งแรกที่การตรวจสอบตัวตน biometrics-based ของ Windows Hello authentication ถูกโจมตีได้สำเร็จ ในเดือนกรกฎาคม 2021 Microsoft ได้ทำการแก้ไขช่องโหว่ด้านความปลอดภัยระดับปานกลาง (CVE-2021-34466 คะแนน CVSS: 6.1) ซึ่งอนุญาตให้ผู้โจมตีปลอมแปลงใบหน้าของเป้าหมาย และข้ามไปยังหน้าจอเข้าสู่ระบบ

นักวิจัยระบุว่า "Microsoft ได้ทำการออกแบบ SDCP อย่างดีเพื่อให้มีช่องทางที่ปลอดภัยระหว่างโฮสต์ และอุปกรณ์ biometric แต่น่าเสียดายที่ผู้ผลิตอุปกรณ์ดูเหมือนจะเข้าใจผิดเกี่ยวกับวัตถุประสงค์บางประการ"

"นอกจากนี้ SDCP ยังครอบคลุมเพียงขอบเขตของการทำงานของอุปกรณ์ทั่วไป ในขณะที่อุปกรณ์ส่วนใหญ่มีพื้นที่สำหรับโจมตีขนาดใหญ่ที่ไม่ได้รับการปกป้องโดย SDCP เลย"

ที่มา : thehackernews