CyberArk Labs ha publicat una nova recerca sobre una important vulnerabilitat a Windows Hello que permet a un atacant eludir l'autenticació de reconeixement facial en el dispositiu. A la vulnerabilitat se li va assignar un CVE (puntuació) i es va corregir després de l'anunci de noves alternatives per part de Microsoft. Després de descobrir la sofisticada tècnica GoldenSAML, que els atacants de SolarWinds van utilitzar per a perpetrar un dels atacs a la cadena de subministrament més elaborat de la història, CyberArk Labs ha confirmat amb aquesta prova de concepte com ometre el reconeixement facial per a l'autenticació pot tenir un impacte similar al de les campanyes d'espionatge dirigides a tot el món.

Segons Microsoft, el 85% dels usuaris de Windows 10 utilitzen Windows Hello per a l'autenticació sense contrasenya. L'equip de recerca de CyberArk va trobar una manera de manipular els aspectes de seguretat darrere del mecanisme de reconeixement facial que utilitza Windows Hello, a través d'una càmera USB personalitzada i una foto de l'usuari objectiu. L'objectiu dels investigadors era Windows Hello, però sembla que la prova de concepte té implicacions per a qualsevol sistema d'autenticació que permeti que una cambra USB connectable de tercers actuï com a sensor biomètric. Com a mostra de la investigació, aquest tipus d'atac és molt rellevant per a l'espionatge dirigit, on es coneix a l'objectiu i es requereix accés físic a un dispositiu. Aquest seria un atac molt efectiu contra un investigador, científic, periodista, activista o qualsevol altra persona que tingui una adreça IP en el seu dispositiu.

Omer Tsarfati, de l'equip de recerca cibernètica de CyberArk i autor de la recerca, explica: «segons les nostres proves, l'ús de seguretat d'inici de sessió millorada amb maquinari compatible limita la superfície d'atac, però depèn del fet que els usuaris tinguin determinades càmeres. Per a mitigar aquest problema de confiança inherent de manera més completa, el host ha de validar la integritat del dispositiu d'autenticació biomètrica abans de confiar en ell».