Написать пост

🔥 В Window Hello нашли критическую уязвимость. Насколько все плохо?

Новости

Оказалось, что некоторое время назад очередной проект Microsoft столкнулся с проблемой — на этот раз речь о Windows Hello

146 открытий4К показов
🔥 В Window Hello нашли критическую уязвимость. Насколько все плохо?

Недавно Йехуда Смирнов, исследователь безопасности и участник red team, обнаружил новый способ фишинга через аутентификацию Windows Hello for Business (WHfB).

Windows Hello for Business — это механизм аутентификации, который использует криптографическую пару ключей, хранящихся на устройстве. Он предназначен для защиты пользователей от атак типа «человек посередине» (MITM), которые часто применяются для кражи учетных данных и сессий.

Уязвимость позволяет злоумышленникам обойти защиту, предоставляемую WHfB, и использовать менее надежные методы проверки пользователя.

Уязвимость и атака

Смирнов объяснил, что уязвимость связана с перехватом и изменением запросов аутентификации. Злоумышленник может изменить параметры POST-запроса, такие как User-Agent или isFidoSupported, чтобы снизить уровень безопасности аутентификации до фишируемого метода.

При попытке пользователя войти на login.microsoftonline.com с использованием WHfB, система автоматически предлагает этот метод аутентификации.

Однако, изменив POST-запросы, мошенник может заставить систему использовать менее защищенный метод, например, обычный логин и пароль.

Доказательство концепции (PoC)

Смирнов показал видео, где демонстрируется, как это работает.

🔥 Как Microsoft монополизировала госструктуры США лишь одним «бесплатным» предложением
tproger.ru

Он использовал измененный EvilGinx-код для автоматизации атаки и создания «фишлета», который перехватывает и изменяет запросы.

Это позволило ему принудительно понизить метод аутентификации:

Превью видео _sNjQ9Z2Xws

Рекомендации по защите

Для защиты от этой уязвимости, Microsoft порекомендовала создать политики условного доступа, использующие новый контроль «Authentication strength».

Так администраторы смогут задать комбинации методов аутентификации, которые можно использовать для доступа к ресурсам и потребовать более защищенные методы для чувствительных ресурсов.

Отчет и исправления

10 сентября 2023 года уязвимость была сообщена Microsoft, а уже 6 ноября 2023 года компания выпустила исправление.

Подробности исследования будут представлены на конференции Black Hat USA 2024 в Лас-Вегасе 8 августа.

Следите за новыми постами
Следите за новыми постами по любимым темам
146 открытий4К показов
Также рекомендуем
Что удобнее для разработчика: Mac Studio или кастомный ПК?
Что удобнее для разработчика: Mac Studio или кастомный ПК?
Может ли миниатюрный Mac Studio от Apple заменить мощные ПК для разработчиков? Проводим технобаттл и разбираемся, какую технику выбрать для работы с медиа и кодом.
В плагине для IDE от JetBrains нашли дыру, которая приводила к утечке учетных данных
В плагине для IDE от JetBrains нашли дыру, которая приводила к утечке учетных данных
В IDE JetBrains обнаружили плагин для GitHub, который имел неприятную дыру в безопасности. Через нее можно было красть учетные данные пользователей
Все версии облачного хранилища Proton Drive стали open source
Все версии облачного хранилища Proton Drive стали open source
Компания Proton открыла исходный код всех версий своего облачного хранилища Proton Drive, включая приложения для Windows, macOS, iOS и Android. Теперь пользователи и эксперты могут самостоятельно проверить безопасность приложений
DOOM портировали на квантовый компьютер. Проверить можно на обычном ПК
DOOM портировали на квантовый компьютер. Проверить можно на обычном ПК
DOOM портировали на квантовые компьютеры, получив Quandoom. Эта версия использует 70 000 кубитов и 80 миллионов квантовых вентилей, однако пока такие квантовые компьютеры не готовы, игру можно симулировать на обычном ПК