الملخص التنفيذي
يحل تحديث الأمان هذا مشكلة Windows Hello التعرف على الوجه في Windows 10 التي تسمح للمهاجم بإعادة عرض صورة للوصول إلى نظام. يتطلب هذا التجاوز الوصول الفعلي مع امتلاك كامل للجهاز الفعلي الخاص بالمستخدم والأجهزة المخصصة وصورة الأشعة تحت الحمراء (IR) المتخصصة.
معلومات الثغرة الأمنية
يتناول تحديث الأمان التراكمي 2021-2007 CVE-2021-34466 وتم إصداره في 13 يوليو 2021.
يتطلب استغلال ناجح المتطلبات الأساسية التالية:
-
يجب أن يكون المستخدم مسجلا بالفعل في Windows Hello الوجه.
-
يمكن للمهاجم الوصول الفعلي إلى جهاز الضحيه.
-
المهاجم لديه مجموعة من صور الأشعة تحت الحمراء الخاصة بالضحية.
-
يلتقط المهاجم جهاز كاميرا USB مخصصا يحاكي كاميرا Windows Hello الوجه. يوصل المتطفل الكاميرا الضارة بجهاز الضحيه ويتدفق إطارات الصور المذكورة في العنصر الثالث.
تصحيحات & التخفيف
في 13 يوليو 2021، أصدرت Microsoft التصحيحات التالية لتصحيح ثغرة الضعف هذه:
-
KB5004237 ل Windows 10 والإصدار 2004 وكل الإصدارات و Windows 10 والإصدار 20H2 وكل الإصدارات و Windows 10 والإصدار 21H1 وكل الإصدارات
-
KB5004245 ل Windows 10 Enterprise، الإصدار 1909، Windows 10 Enterprise والتعليم، الإصدار 1909، Windows 10 IoT Enterprise، الإصدار 1909
-
KB5004244 Windows 10 Enterprise LTSC Windows 10 IoT Enterprise 2019 LTSC
-
KB5004281 Windows 10 1803 (متوفر عند الطلب)
تفاصيل الدقة
تنفذ تحديثات الأمان هذه قيودا بحيث يسمح باستخدام الكاميرات الموثوق بها فقط مع Windows Hello الوجه.
-
مستخدمو Windows Hello الوجه – هؤلاء هم المستخدمون الذين سجلوا في Windows Hello الوجه قبل تطبيق هذا التحديث. Windows سيطالبهم ب إعادة المصادقة باستخدام رمز PIN الخاص بهم مرة واحدة فقط بعد تثبيت هذا التحديث.
-
مستخدمو Windows Hello الوجه الجدد – هؤلاء هم المستخدمون الذين يطبقون هذا التحديث قبل التسجيل في Windows Hello الوجه. Windows تلقائيا بالكاميرا المستخدمة Windows Hello تسجيل مصادقة الوجه.
تكوين اختياري
يمكن للمستخدمين الذين لديهم أمان عال أيضا تكوين قيمة التسجيل التالية لتعطيل جميع الكاميرات الخارجية لاستخدامها مع Windows Hello الوجه.
مسار Reg: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
اسم المفتاح: "ShouldForbidExternalCameras"
القيمة = 1
النوع: DWORD
يمكن للمستخدمين من ذوي الخبرة أو محترفي تكنولوجيا المعلومات أيضا إضافة قيمة السجل أعلاه عن طريق تشغيل الأمر التالي من موجه أوامر المسؤول.
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
تجدر الإشارة إلى أن تكوين قيمة التسجيل هذه سيمنع استخدام كل كاميرات USB الخارجية مع Windows Hello الوجه. ومع ذلك، يمكن للمستخدمين الاستمرار في استخدام الكاميرا الخارجية مع تطبيقات أخرى مثل Microsoft Teams.
أمان تسجيل الدخول المحسن
العملاء الذين Windows Hello أمان تسجيل الدخول المحسن محميون من هذه الثغرة الأمنية. أمان تسجيل الدخول المحسن هو ميزة أمان جديدة في Windows تتطلب أجهزة وبرامج تشغيل وبرامج ثابتة متخصصة تم تثبيتها مسبقا على النظام من قبل الشركات المصنعة للأجهزة. يرجى الاتصال بالشركة المصنعة للجهاز للتعرف على دعم أمان تسجيل الدخول المحسن على جهازك.
البرامج المتأثرة
تتأثر الأنظمة Windows 10 التالية بهذه الثغرة الأمنية:
-
Windows 10 الإصدار 21H1 لنظم تستند إلى x64
-
Windows 10 الإصدار 21H1 لنظم الإصدار 32 بت
-
Windows 10 الإصدار 21H1 لنظم مستندة إلى ARM64
-
Windows 10 الإصدار 21H1 ARM المستندة إلى
-
Windows 10 الإصدار 20H2 لنظم تستند إلى x64
-
Windows 10 الإصدار 20H2 لنظم الإصدار 32 بت
-
Windows 10 الإصدار 20H2 لنظم مستندة إلى ARM64
-
Windows 10 الإصدار 20H2 ARM المستندة إلى
-
Windows 10 الإصدار 2004 لنظم تستند إلى x64
-
Windows 10 الإصدار 2004 ل 32 بت لنظم
-
Windows 10 الإصدار 2004 لنظم مستندة إلى ARM64
-
Windows 10 الإصدار 2004 ل ARM المستندة إلى
-
Windows 10 الإصدار 1909 لنظم تستند إلى x64
-
Windows 10 الإصدار 1909 ل 32 بت لنظم
-
Windows 10 الإصدار 1909 لنظم مستندة إلى ARM64
-
Windows 10 الإصدار 1909 ل ARM المستندة إلى
-
Windows 10 الإصدار 1809 لنظم تستند إلى x64
-
Windows 10 الإصدار 1809 ل 32 بت لنظم
-
Windows 10 الإصدار 1809 لنظم مستندة إلى ARM64
-
Windows 10 الإصدار 1809 ل ARM المستندة إلى
-
Windows 10 الإصدار 1803 لنظم تستند إلى x64
-
Windows 10 الإصدار 1803 ل 32 بت لنظم
-
Windows 10 الإصدار 1803 لنظم مستندة إلى ARM64
-
Windows 10 الإصدار 1803 ل ARM المستندة إلى
الأسئلة المتداولة
Q. ليس لدي جهاز متوافق مع Windows Hello الوجه أو لم أمكن التعرف على الوجه باستخدام Windows Hello. هل يجب أن أقلق بشأن هذه الثغرة الأمنية؟
A. لا. تنطبق هذه الثغرة الأمنية فقط على المستخدمين الذين لديهم جهاز متوافق مع Windows Hello الوجه والذين سجلوا في مصادقة التعرف على الوجه.
Q. ماذا يجب أن أفعل لحماية المستخدمين من هذه الثغرة الأمنية؟
A. قم بتنزيل التحديثات أعلاه وتثبيتها.
Q. هل أحتاج إلى تكوين إعداد التسجيل الاختياري لتأمين أجهزتي من هذه الثغرة الأمنية؟
A. إذا كنت تستخدم كاميرا الوجه الداخلية أو المضمنة Windows Hello الوجه فقط، فلا تحتاج إلى إضافة قيمة التسجيل الاختيارية. ومع ذلك، إذا كنت مستخدما للجوال، فقد يكون جهازك عرضة للفقدان أو السرقة. وبالتالي، يمكنك إضافة قيمة التسجيل الاختيارية لمنع استخدام Windows Hello الوجه إذا كنت تستخدم كاميرا خارجية. تجدر الإشارة إلى أنه سيتم حظر استخدام كل كاميرات USB الخارجية مع Windows Hello الوجه بعد إضافة قيمة التسجيل. يمكن للمستخدمين الاستمرار في استخدام كاميرا خارجية مع تطبيقات أخرى مثل Microsoft Teams.
Q. هل يمكن استغلال هذه الثغرة الأمنية عن بعد؟
A. لا. لاستغلال نقطة الضعف هذه، يجب أن يكون للمهاجم حق الوصول الفعلي الكامل إلى جهاز الضحيه.
س. هل ما زلت بحاجة إلى تثبيت هذا التحديث إذا كان جهازي يدعم أمان تسجيل الدخول المحسن؟
A. يخفف أمان تسجيل الدخول المحسن من هذه الثغرة الأمنية، ولكن فقط إذا تم تمكين الميزة. حتى لو كان الجهاز به مكونات البرامج والأجهزة الضرورية، ما زلت بحاجة إلى التحديث المذكور أعلاه إذا لم تكن الميزة قيد تشغيل. بغض النظر عن ذلك، يجب أن تقوم بتثبيت هذا التحديث للحصول على إصلاحات الأمان الأخرى.
Q. هل يمكنني الاستمرار في استخدام Windows Hello الوجه بدون تحديث نظامي؟
A. Windows Hello التعرف على الوجه إلى العمل حتى لو لم يتم تحديث النظام. ننصحك بشدة بتحديث النظام، لا سيما إذا كنت مستخدما للجوال.
س. هل يمكنني تعطيل Windows Hello الوجه وتابع استخدام بصمة Windows Hello؟
A. نعم. يمكنك إزالة مصادقة الوجه في Window Hello في خيارات تسجيل الدخول >Windows Hello الوجه Windows Hello الوجه وتابع استخدام Window Hello Fingerprint.
