Una falla nascosta nei computer portatili e desktop Windows consente il login non autorizzato (furto di identità)

Un nuovo rapporto di ERNW, una società tedesca di ricerca sulla sicurezza, ha descritto una vulnerabilità all'interno di Windows Hello for Business - il sistema di autenticazione senza password di Microsoft. La ricerca, che fa parte di un progetto finanziato dall'Ufficio federale tedesco per la sicurezza informatica (BSI), dimostra come gli aggressori che hanno accesso a un dispositivo possano sfruttare il design del sistema per commettere una forma di furto di identità.

Questo attacco, soprannominato "The Face Swap", sfrutta il modo in cui Windows Hello gestisce i dati biometrici: invece di utilizzare la biometria dell'utente per l'autenticazione diretta, il sistema la utilizza per sbloccare una chiave crittografica memorizzata nel sistema. I ricercatori di ERNW hanno scoperto che un aggressore con privilegi amministrativi può accedere e manipolare il database che collega l'identità di un utente al suo modello biometrico memorizzato.

In un attacco proof-of-concept, i ricercatori hanno scambiato con successo gli identificatori tra due utenti registrati. Lo scambio ha ingannato completamente il sistema; un aggressore poteva sedersi davanti alla fotocamera del computer e Windows Hello avrebbe usato il suo volto per garantirgli l'accesso all'account della vittima, comprese tutte le risorse di rete, i file e i dati aziendali.

In parole povere, su qualsiasi computer Windows (con Windows Hello) con profili utente multipli, questa falla di sicurezza consente a chiunque abbia un account amministrativo di rubare l'identità di altri utenti del sistema.

ERNW afferma di aver comunicato le sue scoperte a Microsoft, ma sospetta che una soluzione fondamentale sia improbabile, in quanto richiederebbe una revisione dell'architettura del sistema. In un incidente separato, ERNW ha segnalato una falla critica nei sistemi Linux che consentiva agli aggressori l'accesso completo a tali sistemi circa due settimane fa.