Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad de Windows Hello reconocimiento facial en Windows 10 que permite a un atacante reproducir una imagen para obtener acceso a un sistema. Este bypass requiere acceso físico con la posesión completa del dispositivo físico de un usuario, hardware personalizado y una imagen de infrarrojos (IR) especializada. 

Información de vulnerabilidad

La actualización de seguridad acumulativa 2021-07 se dirige a CVE-2021-34466 y se publicó el 13 de julio de 2021.

Un exploit correcto requiere los siguientes requisitos previos:

  1. El usuario ya debe estar inscrito en la autenticación Windows Hello cara.

  2. El atacante tiene acceso físico al dispositivo de la víctima.

  3. El atacante tiene fotocopias suaves de las imágenes infrarrojas de la víctima.

  4. El atacante crea un dispositivo de cámara USB personalizado que imita una cámara Windows Hello cara. El atacante conecta la cámara malintencionada al dispositivo de la víctima y transmite los marcos de imagen mencionados en el elemento tres.

Correcciones & mitigaciones

El 13 de julio de 2021, Microsoft publicó las siguientes correcciones para corregir esta vulnerabilidad:

  • KB5004237 para Windows 10, versión 2004, todas las ediciones, Windows 10, versión 20H2, todas las ediciones y Windows 10, versión 21H1, todas las ediciones

  • KB5004245 para Windows 10 Enterprise, versión 1909, Windows 10 Enterprise y Educación, versión 1909 y Windows 10 IoT Enterprise, versión 1909

  • KB5004244 para Windows 10 Enterprise 2019 LTSC y Windows 10 IoT Enterprise 2019 LTSC

  • KB5004281 para Windows 10 versión 1803 (disponible a petición)

Detalles de resolución

Estas actualizaciones de seguridad implementan restricciones para que solo se puedan usar cámaras de confianza con Windows Hello autenticación facial.

  • Usuarios Windows Hello autenticación de rostro: son usuarios que se han inscrito en la Windows Hello cara antes de aplicar esta actualización. Windows le pedirá que vuelvan a autenticarse con su PIN una vez después de instalar esta actualización.

  • Nuevos Windows Hello usuarios de autenticación de rostro: estos son los usuarios que aplican esta actualización antes de inscribirse en Windows Hello de cara. Windows confiará automáticamente en la cámara que se usa para Windows Hello inscripción de autenticación de cara.

Configuración opcional

Los usuarios altamente conscientes de la seguridad también pueden configurar el siguiente valor del Registro para deshabilitar todas las cámaras externas para su uso con Windows Hello Face.

Ruta de acceso de reg: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon] Nombre de la clave: "ShouldForbidExternalCameras"

Valor = 1

Tipo: DWORD

Los usuarios experimentados o los profesionales de TI también pueden agregar el valor del Registro anterior ejecutando el siguiente comando desde el símbolo del sistema del administrador.

reg agregar "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f

Tenga en cuenta que la configuración de este valor del Registro evitará que todas las cámaras USB externas se utilicen con Windows Hello Face. Sin embargo, los usuarios pueden seguir usando la cámara externa con otras aplicaciones, como Microsoft Teams.

Seguridad de inicio de sesión mejorada

Los clientes Windows Hello seguridad de inicio de sesión mejorado están protegidos contra esta vulnerabilidad. Seguridad de inicio de sesión mejorada es una nueva característica de seguridad en Windows que requiere hardware, controladores y firmware especializados que los fabricantes de dispositivos han preinstalado en el sistema. Póngase en contacto con el fabricante del dispositivo para obtener información sobre el soporte técnico para la seguridad de inicio de sesión mejorada en el dispositivo.

Software afectado

Los siguientes Windows 10 basados en datos se ven afectados por esta vulnerabilidad:

  • Windows 10 Versión 21H1 para sistemas basados en x64

  • Windows 10 Versión 21H1 para sistemas de 32 bits

  • Windows 10 Versión 21H1 para sistemas basados en ARM64

  • Windows 10 Versión 21H1 para ARM basados en sistemas

  • Windows 10 Versión 20H2 para sistemas basados en x64

  • Windows 10 Versión 20H2 para sistemas de 32 bits

  • Windows 10 Versión 20H2 para sistemas basados en ARM64

  • Windows 10 Versión 20H2 para ARM basados en sistemas

  • Windows 10 Versión 2004 para sistemas basados en x64

  • Windows 10 Versión 2004 para sistemas de 32 bits

  • Windows 10 Versión 2004 para sistemas basados en ARM64

  • Windows 10 Versión 2004 para ARM basados en sistemas

  • Windows 10 Versión 1909 para sistemas basados en x64

  • Windows 10 Versión 1909 para sistemas de 32 bits

  • Windows 10 Versión 1909 para sistemas basados en ARM64

  • Windows 10 Versión 1909 para sistemas ARM basados en ARM

  • Windows 10 Versión 1809 para sistemas basados en x64

  • Windows 10 Versión 1809 para sistemas de 32 bits

  • Windows 10 Versión 1809 para sistemas basados en ARM64

  • Windows 10 Versión 1809 para sistemas ARM basados en el sistema

  • Windows 10 Versión 1803 para sistemas basados en x64

  • Windows 10 Versión 1803 para sistemas de 32 bits

  • Windows 10 Versión 1803 para sistemas basados en ARM64

  • Windows 10 Versión 1803 para ARM basados en sistemas

Preguntas más frecuentes

Q. No tengo un dispositivo compatible con la autenticación Windows Hello rostro o no he habilitado el reconocimiento facial con Windows Hello. ¿Tengo que preocuparme por esta vulnerabilidad?

A. No. Esta vulnerabilidad solo se aplica a aquellos usuarios que tienen un dispositivo compatible con Windows Hello Face y se han inscrito en la autenticación de reconocimiento facial.

Q. ¿Qué debo hacer para proteger a mis usuarios de esta vulnerabilidad?

A. Descargue e instale las actualizaciones anteriores.

Q. ¿Necesito configurar la configuración opcional del Registro para proteger mis dispositivos de esta vulnerabilidad?

A. Si solo usa una cámara interna o integrada Windows Hello Face, no es necesario agregar el valor de registro opcional. Sin embargo, si es un usuario móvil, es posible que el dispositivo esté en riesgo de perderse o robarse. Por lo tanto, puede agregar el valor de registro opcional para evitar el uso de cámaras externas Windows Hello Face si usa una cámara externa. Tenga en cuenta que todas las cámaras USB externas no se usarán con Windows Hello Face después de agregar el valor del Registro. Los usuarios pueden seguir usando una cámara externa con otras aplicaciones, como Microsoft Teams.

Q. ¿Se puede aprovechar esta vulnerabilidad de forma remota?

A. No. Para aprovechar esta vulnerabilidad, el atacante debe tener acceso físico completo al dispositivo de la víctima.

Q. ¿Todavía necesito instalar esta actualización si mi dispositivo admite seguridad de inicio de sesión mejorada?

A. La seguridad de inicio de sesión mejorada mitiga esta vulnerabilidad, pero solo si la característica está habilitada. Incluso si un dispositivo tiene los componentes de hardware y software necesarios, aún necesita la actualización mencionada anteriormente si la característica no está activada. Independientemente, debe instalar esta actualización para obtener otras correcciones de seguridad.

Q. ¿Puedo seguir usando el Windows Hello facial sin actualizar mi sistema?

A. Windows Hello el reconocimiento facial seguirá funcionando aunque no actualice el sistema. Le recomendamos encarecidamente que actualice su sistema, especialmente si es un usuario móvil.

Q. ¿Puedo deshabilitar el Windows Hello facial y seguir usando Windows Hello huella digital?

A. Sí. Puede quitar la autenticación de cara de Window Hello en las opciones de inicio de sesión>Windows Hello Face para desactivar Windows Hello Face y seguir usando La huella digital de Hola de ventana.

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders