本站7月16日消息,德國安全研究公司ERNW近日披露了一項安全漏洞,該漏洞存在于微軟的Windows Hello for Business中,允許攻擊者通過面部識別登錄其他用戶的賬戶。
根據ERNW的研究報告,這一漏洞被稱為“面部交換攻擊”(The Face Swap),該攻擊利用了Windows Hello處理生物識別數據的方式。
Windows Hello并不直接使用用戶的生物識別數據進行身份驗證,而是用其解鎖系統中存儲的加密密鑰。
ERNW的研究人員發現,具有管理員權限的攻擊者可以訪問并操縱將用戶身份與存儲的生物識別模板相關聯的數據庫。
在實際的攻擊測試中,研究人員成功地交換了兩名注冊用戶之間的標識符。
這種交換完全欺騙了系統,攻擊者可以在計算機攝像頭前使用自己的面部,讓Windows Hello授予他們訪問受害者賬戶的權限,包括所有企業網絡資源、文件和數據。
簡單來說,在任何支持Windows Hello的Windows計算機上,如果有多用戶配置文件,這一安全漏洞允許擁有管理員賬戶的任何人竊取系統中其他用戶的身份。
ERNW表示,他們已經將這一發現告知了微軟,但懷疑微軟不太可能進行根本性的修復,因為這需要對系統的架構進行徹底的重新設計。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
