На DEF CON представили инструмент для взлома Windows Hello

На DEF CON представили инструмент для взлома Windows Hello

Shwmae обходит биометрическую защиту.

image

На недавно прошедшей конференции DEF CON представили новый инструмент под названием Shwmae, который способен обходить защиту системы Windows Hello — биометрической системы аутентификации, разработанной компанией Microsoft. Shwmae предназначен для использования пользователями, получившими привилегированный доступ к системе.

Shwmae представили в докладе о том, как обойти защиту Windows Hello удалённо, без необходимости физически взаимодействовать с устройством пользователя. В руках злоумышленников инструмент позволяет извлекать и использовать ключи, сертификаты и другие защищённые данные, которые в обычных условиях остаются недоступными.

Если не указаны дополнительные параметры, программа по умолчанию работает в режиме перечисления и предоставляет специфические возможности для атаки на систему. Также можно явно включить этот режим с помощью команды enum. В режиме перечисления программа покажет список всех доступных контейнеров Windows Hello, а затем для каждого контейнера выведет список всех зарегистрированных ключей и средств защиты Windows Hello. Если на компьютере нет модуля TPM (специального чипа для защиты данных), программа создаст хеш PIN-кода, который затем можно попытаться взломать офлайн с помощью инструмента hashcat.

Биометрический протектор, связанный с распознаванием лиц или отпечатков пальцев, расшифровывается автоматически, что делает его особенно уязвимым для атак. Однако другие протекторы, такие как PIN и Recovery, требуют дополнительных усилий для расшифровки, что делает Shwmae особенно опасным в руках опытного злоумышленника.

Ещё одной важной функцией Shwmae является возможность работы с PRT (Primary Refresh Token). С помощью инструмента можно генерировать и обновлять PRT, используя зарегистрированные в Windows Hello ключи. Если в целевой организации включена облачная доверительная аутентификация (Cloud Trust), инструмент позволяет расшифровать Cloud TGT (Ticket Granting Ticket), что даёт злоумышленнику возможность аутентифицироваться в корпоративной сети с правами пользователя, открывая широкие возможности для дальнейших атак на внутренние ресурсы.

В режиме WebAuthn Shwmae позволяет создавать веб-сервер для перехвата и проксирования запросов WebAuthn с атакующего хоста. Злоумышленник может установить на скомпрометированном устройстве веб-сервер, который будет принимать запросы от атакующего браузера и использовать скомпрометированные учетные данные для входа через Passkey-аутентификацию. Эта функция особенно опасна, так как позволяет злоумышленнику использовать чужие учетные данные без физического доступа к устройству жертвы.

Режим дампа (Dump) позволяет извлекать приватные ключи, защищённые Windows Hello, но только в тех случаях, когда они хранятся в программном обеспечении, а не на аппаратном уровне. Утечка таких ключей может привести к потере контроля над учетными записями и данными, что представляет серьёзную угрозу для безопасности.

Последний, но не менее важный режим — это режим подписи (Sign), который позволяет злоумышленнику подписывать любые данные, используя выбранный ключ Windows Hello. В таком сценарии возможны поддельные цифровые подписи, что делает этот режим потенциально опасным для злоупотребления в различных сценариях.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий