A promessa do Windows Hello era simples: usar o seu rosto ou impressão digital para uma autenticação rápida e segura. No entanto, uma demonstração na conferência de segurança Black Hat, em Las Vegas, revelou uma falha preocupante na versão empresarial desta tecnologia, que permite a um atacante contornar o reconhecimento facial e obter acesso total a um computador.
A descoberta, apresentada pelos investigadores alemães Tillmann Osswald e Dr. Baptiste David, mostra que um invasor com privilégios de administrador local pode, de forma assustadoramente simples, usar o seu próprio rosto para desbloquear a máquina da vítima.
O ataque demonstrado ao vivo
Durante a apresentação, o processo foi claro e alarmante. Após o Dr. David iniciar sessão no seu portátil usando o seu rosto, Osswald, no papel de atacante, executou algumas linhas de código. Em seguida, injetou a sua própria leitura facial, capturada noutro computador, na base de dados biométrica da máquina alvo.
Segundos depois, Osswald inclinou-se para a câmara e o computador desbloqueou instantaneamente, aceitando o seu rosto como se fosse o do proprietário legítimo. Segundo os investigadores, conforme detalhado pelo The Register, o problema é grave e afeta implementações específicas do Windows Hello.
A raiz do problema: a base de dados biométrica
Para perceber a falha, é preciso olhar para o funcionamento interno do Windows Hello em ambiente empresarial. Quando a funcionalidade é ativada, é gerado um par de chaves criptográficas (pública e privada). A chave pública é registada no fornecedor de identidade da organização, como o Entra ID.
Os dados biométricos, por sua vez, são guardados numa base de dados gerida pelo Serviço Biométrico do Windows (WBS), e essa base de dados é encriptada. O problema reside no facto de, em algumas implementações, a encriptação não ser suficiente para impedir que um utilizador com privilégios de administrador local consiga decifrar os dados biométricos e inserir novos.
Enhanced Sign-in Security (ESS): A solução que nem todos têm
A Microsoft tem uma solução para este problema, chamada Enhanced Sign-in Security (ESS). Esta tecnologia isola todo o processo de autenticação biométrica num ambiente seguro, gerido pelo hipervisor do sistema, tornando o ataque impossível.
Contudo, existe um senão: o ESS exige um conjunto de hardware muito específico. Para que funcione, um computador precisa de:
Um CPU moderno de 64 bits com suporte para virtualização de hardware.
Um chip TPM 2.0.
Secure Boot ativado no firmware.
Sensores biométricos (câmara, leitor de impressão digital) especialmente certificados.
A Microsoft exige este nível de proteção nos seus novos computadores Copilot+, mas como os investigadores apontam, muitos portáteis existentes, mesmo modelos de topo recentes com processadores AMD, podem não ter os sensores certificados, ficando vulneráveis.
Como verificar se o seu PC está protegido e o que fazer
Segundo os especialistas, corrigir esta vulnerabilidade em sistemas sem ESS é "difícil" ou quase impossível sem uma reformulação profunda da arquitetura. A recomendação para utilizadores empresariais cujas máquinas não suportam ESS é clara: desativar a biometria e usar um PIN como método de autenticação.
Para verificar se o seu PC suporta ESS, pode ir às definições do sistema. Nas "Opções de início de sessão" da sua conta, poderá encontrar uma opção "Iniciar sessão com uma câmara externa ou leitor de impressões digitais". Se esta opção estiver desligada, significa que o ESS está ativo. Se a ligar, desativa a funcionalidade para permitir o uso de periféricos externos, sacrificando essa camada extra de segurança. A Microsoft só espera ter suporte total para dispositivos externos com ESS no final de 2025.
Nenhum comentário
Seja o primeiro!