Eine neu offengelegte Schwachstelle in Windows Hello erlaubt es Angreifern, Gesichtserkennungsdaten zu manipulieren und sensible Systeme mit ihrem eigenen Gesicht zu entsperren. Sicherheitsexperten warnen, dass Windows Hello for Business unter einem grundlegenden Konstruktionsfehler leidet, der es ermöglicht, Gesichter auszutauschen und privilegierte Benutzerkonten zu übernehmen.
Forscher decken schwerwiegende biometrische Schwachstelle auf
Sicherheitsforscher des Unternehmens ERNW haben herausgefunden, dass sich biometrische Templates in Windows Hello manipulieren lassen, wenn ein Angreifer Zugriff auf ein kompromittiertes Gerät innerhalb eines Unternehmensnetzwerks erlangt.
Windows Hello for Business dient eigentlich dazu, die Identität von Nutzern über biometrische Daten wie Gesichtsscans zu verifizieren. Die Forscher stellten jedoch fest, dass Angreifer mit Administratorrechten die gespeicherten Gesichtsvorlagen verändern können – im Grunde ein „Gesichtstausch“.
Ist dieser Schritt vollzogen, kann sich der Angreifer mit seinem eigenen Gesicht als andere Nutzer – einschließlich Domänen-Administratoren – anmelden.
„Zwischen biometrischer Identifikation und Authentifizierung besteht nur eine lose Kopplung“, schreiben die Forscher in einem ausführlichen Beitrag auf insinuator.net. „Alle Informationen, die zum Entsperren der Templates erforderlich sind, werden lokal gespeichert.“
So funktioniert der Face-Swap-Angriff
Um den Angriff durchzuführen, müssen Hacker zunächst ein Gerät im Unternehmensnetzwerk kompromittieren und sich anschließend erhöhte Rechte als lokaler Administrator verschaffen.
Unter diesen Bedingungen können sie die biometrische Datenbank entschlüsseln und verändern. Diese enthält:
- Einen verschlüsselten Header mit den Schlüsseln für die biometrischen Templates
- Versions-Metadaten
- Die verschlüsselten Gesichtsvorlagen selbst
Der biometrische Dienst, der diese Daten speichert, läuft unter dem Konto NT AUTHORITY\SYSTEM. Dadurch kann ein Angreifer den Entschlüsselungsschlüssel direkt vom System ableiten – ohne externe Geheimnisse.
Das Proof-of-Concept von ERNW zeigt zwei Windows-Hello-Nutzer – einen Domänenbenutzer und einen lokalen Admin. Durch das Austauschen der Sicherheits-IDs kann das Gesicht des Admins nun das Konto des Domänenbenutzers entsperren.
Microsoft informiert – aber keine Lösung in Sicht
Die Forscher informierten Microsoft, gehen jedoch nicht davon aus, dass die Schwachstelle behoben wird. Eine Behebung würde laut ihnen eine umfassende Neustrukturierung der biometrischen Architektur von Windows Hello erfordern. Ähnliche Schwachstellen in der Vergangenheit wurden offenbar ebenfalls nicht adressiert.
Die Schwachstelle ist nicht nur theoretisch: ERNW konnte den Angriff mit Standard-Windows-Werkzeugen demonstrieren. Mit Zugriff auf ein kompromittiertes Gerät können Angreifer sich seitlich durchs Netzwerk bewegen, sensible Daten stehlen oder Benutzersitzungen kapern.
Fazit
Die Windows-Hello-Schwachstelle zeigt, dass selbst fortschrittliche biometrische Systeme ausnutzbar sind – vorausgesetzt, der Angreifer hat die nötigen Zugriffsrechte. Durch die lokale Speicherung kritischer Entschlüsselungsdaten und die schwache Kopplung zwischen Identität und Authentifizierung öffnet Windows Hello die Tür für Face-Swap-Angriffe, die ganze Netzwerke gefährden können. Ohne grundlegende Neugestaltung sollten Unternehmen ihre Abhängigkeit von Gesichtserkennung zur Sicherung privilegierter Systeme überdenken.
0 Kommentare zu „Windows Hello-Sicherheitslücke ermöglicht Hackern Gesichtstausch und Admin-Zugriff“