Новости На DEF CON представил инструмент для взлома Windows Hello

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Shwmae обходит биометрическую защиту.


btpn47k5u1vst4hp66r1g1ty6yx0z75d.jpg


На недавно прошедшей конференции DEF CON Для просмотра ссылки Войди или Зарегистрируйся новый инструмент под названием Shwmae, который способен обходить защиту системы Windows Hello — биометрической системы аутентификации, разработанной компанией Microsoft. Shwmae предназначен для использования пользователями, получившими привилегированный доступ к системе.

Shwmae представили в докладе о том, как обойти защиту Windows Hello удалённо, без необходимости физически взаимодействовать с устройством пользователя. В руках злоумышленников инструмент позволяет извлекать и использовать ключи, сертификаты и другие защищённые данные, которые в обычных условиях остаются недоступными.

Если не указаны дополнительные параметры, программа по умолчанию работает в режиме перечисления и предоставляет специфические возможности для атаки на систему. Также можно явно включить этот режим с помощью команды enum. В режиме перечисления программа покажет список всех доступных контейнеров Windows Hello, а затем для каждого контейнера выведет список всех зарегистрированных ключей и средств защиты Windows Hello. Если на компьютере нет модуля TPM (специального чипа для защиты данных), программа создаст хеш PIN-кода, который затем можно попытаться взломать офлайн с помощью инструмента hashcat.

Биометрический протектор, связанный с распознаванием лиц или отпечатков пальцев, расшифровывается автоматически, что делает его особенно уязвимым для атак. Однако другие протекторы, такие как PIN и Recovery, требуют дополнительных усилий для расшифровки, что делает Shwmae особенно опасным в руках опытного злоумышленника.

Ещё одной важной функцией Shwmae является возможность работы с PRT (Primary Refresh Token). С помощью инструмента можно генерировать и обновлять PRT, используя зарегистрированные в Windows Hello ключи. Если в целевой организации включена облачная доверительная аутентификация (Cloud Trust), инструмент позволяет расшифровать Cloud TGT (Ticket Granting Ticket), что даёт злоумышленнику возможность аутентифицироваться в корпоративной сети с правами пользователя, открывая широкие возможности для дальнейших атак на внутренние ресурсы.

В режиме WebAuthn Shwmae позволяет создавать веб-сервер для перехвата и проксирования запросов WebAuthn с атакующего хоста. Злоумышленник может установить на скомпрометированном устройстве веб-сервер, который будет принимать запросы от атакующего браузера и использовать скомпрометированные учетные данные для входа через Passkey-аутентификацию. Эта функция особенно опасна, так как позволяет злоумышленнику использовать чужие учетные данные без физического доступа к устройству жертвы.

Режим дампа (Dump) позволяет извлекать приватные ключи, защищённые Windows Hello, но только в тех случаях, когда они хранятся в программном обеспечении, а не на аппаратном уровне. Утечка таких ключей может привести к потере контроля над учетными записями и данными, что представляет серьёзную угрозу для безопасности.

Последний, но не менее важный режим — это режим подписи (Sign), который позволяет злоумышленнику подписывать любые данные, используя выбранный ключ Windows Hello. В таком сценарии возможны поддельные цифровые подписи, что делает этот режим потенциально опасным для злоупотребления в различных сценариях.
 
Источник новости
www.securitylab.ru

Похожие темы