Резюме
Тази актуализация на защитата отстранява Windows Hello за разпознаване на лица заобикаля уязвимостта в Windows 10, което позволява на хакера да възпроизвеждане на изображение, за да получи достъп до система. Този байпас изисква физически достъп с пълно притежание на физическото устройство на потребителя, хардуера по избор и специализирано инфрачервено (IR) изображение.
Информация за уязвимостта
Кумулативната актуализация на защитата за 2021–07 адресира CVE-2021-34466 и е издадена на 13 юли 2021 г.
Успешното използване изисква следните предварителни условия:
-
Потребителят трябва вече да е записан в Windows Hello лице.
-
Хакерът има физически достъп до устройството на жертвата.
-
Атакуващият има меки лепенки на инфрачервените изображения на жертвата.
-
Атакуващият занаятчийство на usb камера по избор, което имитира легитимна Windows Hello face camera. Хакерът включва злонамерената камера в устройството на жертва и предава поточно рамките на изображенията, споменати в елемент три.
Корекции & предпазни мерки
На 13 юли 2021 г. Microsoft издаде следните корекции за коригиране на тази уязвимост:
-
KB5004237 за Windows 10, версия 2004, всички издания, Windows 10, версия 20H2, всички издания и Windows 10, версия 21H1, всички издания
-
KB5004245 за Windows 10 Enterprise, версия 1909, Windows 10 Enterprise и образование, версия 1909 и Windows 10 IoT Enterprise, версия 1909
-
KB5004244 за Windows 10 Enterprise 2019 LTSC и Windows 10 IoT Enterprise 2019 LTSC
-
KB5004281 за Windows 10 версия 1803 (Налично при поискване)
Подробни данни за разделителната способност
Тези актуализации на защитата въвеждат ограничения, така че само надеждни камери да могат да се използват с Windows Hello удостоверяване на лица.
-
Съществуващи Windows Hello за удостоверяване на лица – това са потребители, които са се запишат в Windows Hello лице, преди да приложат тази актуализация. Windows ще ги подкани да се удостоверят отново със своя ПИН само веднъж след инсталирането на тази актуализация.
-
Нови Windows Hello за удостоверяване на лица – това са потребители, които прилагат тази актуализация, преди да се запишат в Windows Hello удостоверяване с лице. Windows автоматично ще се довери на камерата, използвана за записване Windows Hello удостоверяване на лице.
Опционална конфигурация
Потребителите с висока степен на защита могат също да конфигурират следната стойност в системния регистър, за да забранят всички външни камери за използване Windows Hello Лице.
Reg Path: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Име на ключ: "ShouldForbidExternalCameras"
Стойност = 1
Тип: DWORD
Опитните потребители или ИТ специалистите също могат да добавят горната стойност на системния регистър, като изпълняват следната команда от командния прозорец на администратора.
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
Имайте предвид, че конфигурирането на тази стойност в системния регистър ще попречи на всички външни USB камери да се използват с Windows Hello Face. Потребителите обаче могат да продължат да използват външната камера с други приложения, като например Microsoft Teams.
Подобрена защита при влизане
Клиентите с Windows Hello подобрена защита за влизане са защитени от тази уязвимост. Подобрената защита при влизане е нова функция за защита в Windows, която изисква специализиран хардуер, драйвери и фърмуер, които са предварително инсталирани в системата от производителите на устройства. Обърнете се към производителя на устройството, за да научите повече за поддръжката на подобрена защита при влизане на вашето устройство.
Засегнат софтуер
Тази уязвимост Windows 10 базирани на следните системи:
-
Windows 10 Версия 21H1 за системи, базирани на x64
-
Windows 10 Версия 21H1 за 32-битови системи
-
Windows 10 Версия 21H1 за системи, базирани на ARM64
-
Windows 10 Версия 21H1 за системи, базирани на ARM
-
Windows 10 Версия 20H2 за системи, базирани на x64
-
Windows 10 Версия 20H2 за 32-битови системи
-
Windows 10 Версия 20H2 за системи, базирани на ARM64
-
Windows 10 Версия 20H2 за системи, базирани на ARM
-
Windows 10 Версия 2004 за системи, базирани на x64
-
Windows 10 Версия 2004 за 32-битови системи
-
Windows 10 Версия 2004 за системи, базирани на ARM64
-
Windows 10 Версия 2004 за базирани на ARM системи
-
Windows 10 Версия 1909 за системи, базирани на x64
-
Windows 10 Версия 1909 за 32-битови системи
-
Windows 10 Версия 1909 за системи, базирани на ARM64
-
Windows 10 Версия 1909 за системи, базирани на ARM
-
Windows 10 Версия 1809 за системи, базирани на x64
-
Windows 10 Версия 1809 за 32-битови системи
-
Windows 10 Версия 1809 за системи, базирани на ARM64
-
Windows 10 Версия 1809 за базирани на ARM системи
-
Windows 10 Версия 1803 за системи, базирани на x64
-
Windows 10 Версия 1803 за 32-битови системи
-
Windows 10 Версия 1803 за системи, базирани на ARM64
-
Windows 10 Версия 1803 за системи, базирани на ARM
Често задавани въпроси
Q. Нямам устройство, което е съвместимо с удостоверяването на Windows Hello лице или не съм разрешил разпознаването на лица с Windows Hello. Трябва ли да се притеснявам за тази уязвимост?
A. Не. Тази уязвимост е приложима само за тези потребители, които имат устройство, което е съвместимо с Windows Hello Лице и са се запитали за удостоверяване за разпознаване на лица.
Q. Какво трябва да направя, за да защитя потребителите си от тази уязвимост?
A. Изтеглете и инсталирайте актуализациите по-горе.
Q. Трябва ли да конфигурирам незадължителна настройка на системния регистър, за да предохраня устройствата си от тази уязвимост?
A. Ако използвате само вътрешна или вградена камера Windows Hello Face, не е нужно да добавяте незадължителна стойност в системния регистър. Ако обаче сте мобилен потребител, възможно е устройството ви да е в риск да бъде изгубено или откраднато. Следователно можете да добавите незадължителна стойност в системния регистър, за да предотвратите използването на външни камери Windows Hello face, ако използвате външна камера. Обърнете внимание, че всички външни USB камери ще бъдат блокирани да се използват с Windows Hello Лице, след като добавите стойността в системния регистър. Потребителите могат да продължат да използват външна камера с други приложения, като Microsoft Teams.
Q. Може ли тази уязвимост да се използва отдалечено?
A. Не. За да използва тази уязвимост, атакуващият трябва да има пълен физически достъп до устройството на жертва.
Q. Все още ли трябва да инсталирам тази актуализация, ако моето устройство поддържа подобрена защита при влизане?
A. Подобрената защита за влизане намалява тази уязвимост, но само ако функцията е разрешена. Дори ако устройството има необходимите хардуерни и софтуерни компоненти, все още имате нужда от актуализацията, спомената по-горе, ако функцията не е включена. Независимо от това трябва да инсталирате тази актуализация, за да получите други корекции на защитата.
Q. Мога ли да продължа да използвам функцията Windows Hello разпознаване на лица, без да актуализирам моята система?
A. Windows Hello разпознаване на лица ще продължи да работи дори ако не актуализирате системата си. Силно ви съветваме да актуализирате системата си, особено ако сте мобилен потребител.
Q. Мога ли да забраня Windows Hello разпознаване на лица и да продължа да използвам Windows Hello пръстов отпечатък?
A. Да. Можете да премахнете windows Hello face authentication in Sign-in Sign->Windows Hello Face, за да изключите Windows Hello Лице и да продължите да използвате Window Hello Fingerprint.
