Una vulnerabilidad en Windows Hello permite eludir la autenticación facial

Recomendados:  Anatomía del ataque a una cuenta privilegiada Leer Seis razones para proteger Salesforce con una solución de terceros Leer

CyberArk Labs ha publicado una investigación sobre una importante vulnerabilidad en Windows Hello que permite a un atacante eludir la autenticación de reconocimiento facial en el dispositivo.

El equipo de investigación de CyberArk encontró una manera de manipular los aspectos de seguridad detrás del mecanismo de reconocimiento facial que usa Windows Hello, a través de una cámara USB personalizada y una foto del usuario objetivo. El objetivo de los investigadores era Windows Hello, pero parece que la prueba de concepto tiene implicaciones para cualquier sistema de autenticación que permita que una cámara USB conectable de terceros actúe como sensor biométrico. A la vulnerabilidad se le asignó un CVE y se corrigió tras el anuncio de nuevos parches por parte de Microsoft.

CyberArk Labs ha confirmado con esta prueba de concepto cómo omitir el reconocimiento facial para la autenticación puede tener un impacto muy relevante para el espionaje dirigido, donde se conoce al objetivo y se requiere acceso físico a un dispositivo. Este sería un ataque muy efectivo contra un investigador, científico, periodista, activista o cualquier otra persona que tenga una dirección IP en su dispositivo.

“Según nuestras pruebas, el uso de seguridad de inicio de sesión mejorada con hardware compatible limita la superficie de ataque, pero depende de que los usuarios tengan determinadas cámaras. Para mitigar este problema de confianza inherente de manera más completa, el host debe validar la integridad del dispositivo de autenticación biométrica antes de confiar en él”, señala Omer Tsarfati, del equipo de investigación cibernética de CyberArk y autor de la investigación.