Il sistema di autenticazione biometrica Windows Hello, che Microsoft sta promuovendo come alternativa più sicura alle tradizionali password, presenta una vulnerabilità critica che potrebbe compromettere la sicurezza aziendale. Due ricercatori tedeschi, finanziati dal governo federale, hanno dimostrato come sia possibile aggirare completamente le protezioni del sistema, permettendo a chiunque di accedere a un computer aziendale semplicemente iniettando dati biometrici falsi nel database del sistema.
Durante la conferenza Black Hat di Las Vegas, il dottor Baptiste David e Tillmann Osswald della società di sicurezza indipendente ERNW Research hanno svelato come un amministratore locale malintenzionato, o chiunque riesca ad ottenere credenziali attraverso malware, possa manipolare il riconoscimento facciale e delle impronte digitali. La dimostrazione dal vivo ha mostrato quanto sia semplice l'attacco: dopo che David si è autenticato con la scansione facciale, bastano poche righe di codice per inserire nel database i dati biometrici di un'altra persona e sbloccare istantaneamente la macchina.
Il problema è particolarmente grave per le implementazioni aziendali, dove Hello viene utilizzato per accedere a piattaforme critiche come Entra ID o Active Directory. Il sistema memorizza una chiave crittografica in un database collegato al Windows Biometric Service, ma la protezione CryptProtectData può essere aggirata sfruttando informazioni presenti nel software stesso.
Una protezione che non tutti possono avere
Microsoft ha sviluppato una contromisura chiamata Enhanced Sign-in Security (ESS), che opera a un livello di fiducia virtuale superiore e dovrebbe bloccare questo tipo di attacchi. Tuttavia, come spiega Osswald, "ESS è molto efficace nel bloccare questo attacco, ma non tutti possono utilizzarlo". Il problema principale riguarda la compatibilità hardware: molti computer, inclusi ThinkPad relativamente recenti con chip AMD, non dispongono dei sensori sicuri necessari per far funzionare ESS.I dispositivi più recenti dotati di processori Intel possono beneficiare delle protezioni ESS, ma molte aziende rimangono vulnerabili senza saperlo.
I ricercatori tedeschi avvertono che correggere questa falla sarà tutt'altro che semplice. La soluzione richiederebbe una riscrittura significativa del codice o l'utilizzo del modulo TPM per memorizzare i dati biometrici, opzione che potrebbe non essere tecnicamente fattibile. Nel frattempo, la loro raccomandazione è chiara: le aziende che utilizzano Hello for Business senza ESS dovrebbero disabilitare completamente l'autenticazione biometrica e tornare all'uso del PIN tradizionale.
La ricerca fa parte del programma "Windows Dissect", finanziato dall'Ufficio Federale Tedesco per la Sicurezza IT e destinato a concludersi nella primavera del 2025. Gli esperti anticipano che potrebbero emergere ulteriori rivelazioni sulla sicurezza dei sistemi Microsoft nei prossimi mesi. Microsoft, contattata per un commento, non ha ancora fornito una risposta ufficiale riguardo a queste scoperte che mettono in discussione la sicurezza intrinseca di uno dei suoi sistemi più pubblicizzati.