Microsoft corrige falha grave na biometria do Windows Hello

O acesso físico de terceiros a um computador poderia ser barrado com uma senha robusta, mas isso não era realidade caso o usuário Microsoft optasse pelo Windows Hello. Uma falha de segurança permitiria que um invasor enganasse o bloqueio biométrico simulando a presença do dono da máquina.

O sistema de autenticação sem senha do Windows 10, que usa reconhecimento facial para desbloquear o computador, permitia que um invasor falsificasse a sequência de quadros de um rosto para enganar o sistema biométrico com uma falsa câmera USB e assumir o controle do dispositivo.

Registrada como CVE-2021-34466 e descoberta em março pelos pesquisadores do CyberArk Labs, a falha permitia manipular o processo de autenticação. De acordo com Omer Tsarfati, responsável pela análise, bastava capturar ou recriar um “rosto alvo” e, depois, conectar um dispositivo USB adaptado para injetar as imagens falsificadas no host de autenticação.

Isso fazia com que o Windows Hello identificasse o rosto do dono da máquina mesmo que ele não estivesse presente no momento e desse acesso ao PC.

Dispositivo USB adaptado simula câmera USB externa no Windows Hello.Fonte:  Divulgação / CyberArk 

O Windows Hello é um recurso do Windows 10 que permite aos usuários desbloquear o PC sem usar uma senha longa padrão, trabalhando com um código PIN (curto) ou identidade biométrica, seja uma impressão digital ou reconhecimento facial. De acordo com a Microsoft, cerca de 85% dos usuários do Windows 10 usam uma das três opções de login no computador.

Falha corrigida, ou quase isso

A Microsoft afirma que corrigiu a vulnerabilidade em um patch de julho. Mas, Tsarfati acredita que uma solução preliminar pode não mitigar totalmente o risco e que a correção deve focar no dispositivo USB conectado à máquina.

“Para mitigar esse problema de confiança de forma abrangente, o host deve validar a integridade do dispositivo de autenticação biométrica antes de confiar nele”, disse.

A CyberArk postou vídeos como prova de conceito que mostram como explorar a falha, que foi encontrada também na versão corporativa do Hello.

“É semelhante a roubar uma senha, mas muito mais acessível porque os dados [do seu rosto] estão por aí. No centro disso está o fato de que o Windows Hello permite fontes de dados externas [como vídeos]”, explica.