НСПК / 24.12.24 / перетяжка / 2W5zFK76vmn
НСПК / 24.12.24 / перетяжка / 2W5zFK76vmn
НСПК / 24.12.24 / перетяжка / 2W5zFK76vmn

🔥 В Window Hello нашли критическую уязвимость. Насколько все плохо?

Новости

Оказалось, что некоторое время назад очередной проект Microsoft столкнулся с проблемой — на этот раз речь о Windows Hello

152 открытий4К показов
🔥 В Window Hello нашли критическую уязвимость. Насколько все плохо?

Недавно Йехуда Смирнов, исследователь безопасности и участник red team, обнаружил новый способ фишинга через аутентификацию Windows Hello for Business (WHfB).

Windows Hello for Business — это механизм аутентификации, который использует криптографическую пару ключей, хранящихся на устройстве. Он предназначен для защиты пользователей от атак типа «человек посередине» (MITM), которые часто применяются для кражи учетных данных и сессий.

Уязвимость позволяет злоумышленникам обойти защиту, предоставляемую WHfB, и использовать менее надежные методы проверки пользователя.

Уязвимость и атака

Смирнов объяснил, что уязвимость связана с перехватом и изменением запросов аутентификации. Злоумышленник может изменить параметры POST-запроса, такие как User-Agent или isFidoSupported, чтобы снизить уровень безопасности аутентификации до фишируемого метода.

При попытке пользователя войти на login.microsoftonline.com с использованием WHfB, система автоматически предлагает этот метод аутентификации.

Однако, изменив POST-запросы, мошенник может заставить систему использовать менее защищенный метод, например, обычный логин и пароль.

Доказательство концепции (PoC)

Смирнов показал видео, где демонстрируется, как это работает.

Он использовал измененный EvilGinx-код для автоматизации атаки и создания «фишлета», который перехватывает и изменяет запросы.

Это позволило ему принудительно понизить метод аутентификации:

Превью видео _sNjQ9Z2Xws

Рекомендации по защите

Для защиты от этой уязвимости, Microsoft порекомендовала создать политики условного доступа, использующие новый контроль «Authentication strength».

Так администраторы смогут задать комбинации методов аутентификации, которые можно использовать для доступа к ресурсам и потребовать более защищенные методы для чувствительных ресурсов.

Отчет и исправления

10 сентября 2023 года уязвимость была сообщена Microsoft, а уже 6 ноября 2023 года компания выпустила исправление.

Подробности исследования будут представлены на конференции Black Hat USA 2024 в Лас-Вегасе 8 августа.

Следите за новыми постами
Следите за новыми постами по любимым темам
152 открытий4К показов