סיכום מנהלים
עדכון אבטחה זה פותר Windows Hello עקיפת זיהוי פנים ב- Windows 10 המאפשרת לתוקף להריץ מחדש תמונה כדי לקבל גישה למערכת. מעקף זה דורש גישה פיזית עם החזקה מלאה של מכשיר פיזי של משתמש, חומרה מותאמת אישית ותמונה מיוחדת של אינפרא-אדום (IR).
מידע על פגיעות
עדכון האבטחה המצטבר 2021-07 כתובות CVE-2021-34466 ופורסם ב- 13 ביולי 2021.
ניצול מוצלח דורש את התנאים המוקדמים הבאים:
-
המשתמש חייב להיות רשום כבר Windows Hello פנים.
-
לתוקף יש גישה פיזית למכשיר של הקרבן.
-
לתוקף יש רכות של תמונות האינפרא-אדום של הקרבן.
-
התוקף יצלם התקן מותאם אישית של מצלמת USB Windows Hello מצלמת פנים. התוקף מחבר את המצלמה הזדונית למכשיר של הקרבן ומזרים את מסגרות התמונה המוזכרות בפריט 3.
תיקונים & מקלים
ב- 13 ביולי 2021, Microsoft פרסמה את התיקונים הבאים לתיקון פגיעות זו:
-
KB5004237 עבור Windows 10, גירסה 2004, כל המהדורות, Windows 10, גירסה 20H2, כל המהדורות ו- Windows 10, גירסה 21H1, כל המהדורות
-
KB5004245 עבור Windows 10 Enterprise, גירסה 1909, Windows 10 Enterprise וחינוך, גירסה 1909 ו- Windows 10 IoT Enterprise, גירסה 1909
-
KB5004244 עבור Windows 10 Enterprise 2019 LTSC ו- Windows 10 IoT Enterprise 2019 LTSC
-
KB5004281 עבור Windows 10 גירסה 1803 (זמינה לפי בקשה)
פרטי פתרון
עדכוני אבטחה אלה מיישמים הגבלות כך שרק מצלמות מהימנה מורשות לשימוש עם Windows Hello פנים.
-
משתמשים קיימים Windows Hello אימות פנים – אלה הם משתמשים שנרשמו לאימות פנים Windows Hello לפני החלת עדכון זה. Windows יבקש מהם לבצע אימות מחדש עם מספר הזיהוי האישי שלהם פעם אחת בלבד לאחר התקנת עדכון זה.
-
משתמשי Windows Hello פנים חדשים – אלה הם משתמשים שמחילים עדכון זה לפני ההרשמה Windows Hello פנים. Windows תסמוך באופן אוטומטי על המצלמה המשמשת Windows Hello ההרשמה לאימות פנים.
תצורה אופציונלית
משתמשים בעלי מודעות לאבטחה גבוהה יכולים גם לקבוע את תצורת ערך הרישום הבא כדי להפוך את כל המצלמות החיצוניות ללא זמינות לשימוש עם Windows Hello פנים.
נתיב Reg: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
שם מפתח: "ShouldForbidExternalCameras"
Value = 1
סוג: DWORD
משתמשים מנוסים או מומחי IT יכולים גם להוסיף את ערך הרישום שלעיל על-ידי הפעלת הפקודה הבאה משורת הפקודה של מנהל המערכת.
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
שים לב כי קביעת התצורה של ערך רישום זה תמנע שימוש בכל מצלמות ה- USB החיצוניות עם Windows Hello פנים. עם זאת, משתמשים יכולים להמשיך להשתמש במצלמה החיצונית עם יישומים אחרים, כגון Microsoft Teams.
אבטחת כניסה משופרת
לקוחות Windows Hello אבטחה משופרת של כניסה מוגנים מפני פגיעות זו. אבטחת כניסה משופרת היא תכונת אבטחה חדשה ב- Windows הדורשת חומרה, מנהלי התקנים ו קושחה מיוחדים המותקנים מראש במערכת על-ידי יצרני מכשירים. פנה ליצרן המכשיר לקבלת מידע על תמיכה באבטחת כניסה משופרת במכשיר שלך.
תוכנות מושפעות
המערכות Windows 10 הבאות מושפעות מפגיעות זו:
-
Windows 10 גירסה 21H1 עבור מערכות מבוססות x64
-
Windows 10 גירסה 21H1 עבור מערכות של 32 סיביות
-
Windows 10 גירסה 21H1 עבור מערכות מבוססות ARM64
-
Windows 10 גירסה 21H1 עבור ARM מבוססות-מחשבים
-
Windows 10 גירסה 20H2 עבור מערכות מבוססות x64
-
Windows 10 גירסה 20H2 עבור מערכות של 32 סיביות
-
Windows 10 גירסה 20H2 עבור מערכות מבוססות ARM64
-
Windows 10 גירסה 20H2 עבור ARM מבוססות-מחשבים
-
Windows 10 גירסה 2004 עבור מערכות מבוססות x64
-
Windows 10 גירסה 2004 עבור מערכות של 32 סיביות
-
Windows 10 גירסה 2004 עבור מערכות מבוססות ARM64
-
Windows 10 גירסה 2004 עבור ARM מבוססות-בסיס
-
Windows 10 גירסה 1909 עבור מערכות מבוססות x64
-
Windows 10 גירסה 1909 עבור מערכות של 32 סיביות
-
Windows 10 גירסה 1909 עבור מערכות מבוססות ARM64
-
Windows 10 גירסה 1909 עבור ARM מבוססות-מחשבים
-
Windows 10 גירסה 1809 עבור מערכות מבוססות x64
-
Windows 10 גירסה 1809 עבור מערכות של 32 סיביות
-
Windows 10 גירסה 1809 עבור מערכות מבוססות ARM64
-
Windows 10 גירסה 1809 עבור ARM מבוססות-מחשבים
-
Windows 10 גירסה 1803 עבור מערכות מבוססות x64
-
Windows 10 גירסה 1803 עבור מערכות של 32 סיביות
-
Windows 10 גירסה 1803 עבור מערכות מבוססות ARM64
-
Windows 10 גירסה 1803 עבור ARM מבוססות-בסיס
שאלות נפוצות
Q. אין לי מכשיר תואם לאימות Windows Hello פנים או שלא הפעלתי זיהוי פנים עם Windows Hello. האם אני צריך לדאוג לגבי פגיעות זו?
A. לא. פגיעות זו חלה רק על משתמשים בעלי מכשיר התואם ל- Windows Hello פנים ונרשמו לאימות זיהוי פנים.
Q. מה עליי לעשות כדי להגן על המשתמשים שלי מפני פגיעות זו?
A. הורד והתקן את העדכונים לעיל.
Q. האם עליי לקבוע את התצורה של הגדרת הרישום האופציונלית כדי לאבטח את המכשירים שלי מפגיעות זו?
A. אם אתה משתמש רק במצלמת Windows Hello פנימית או מוכללת, אין צורך להוסיף את ערך הרישום האופציונלי. עם זאת, אם אתה משתמש נייד, ייתכן שהמכשיר שלך נמצא בסיכון של אובדן או גניבה. לכן, באפשרותך להוסיף את ערך הרישום האופציונלי כדי למנוע את השימוש במצלמות Windows Hello פנים אם אתה משתמש במצלמה חיצונית. שים לב כי כל מצלמות ה- USB החיצוניות ייחסמו בשימוש עם Windows Hello פנים לאחר הוספת ערך הרישום. המשתמשים יכולים להמשיך להשתמש במצלמה חיצונית עם יישומים אחרים כגון Microsoft Teams.
Q. האם ניתן לנצל פגיעות זו מרחוק?
A. לא. כדי לנצל פגיעות זו, לתוקף חייבת להיות גישה פיזית מלאה למכשיר של הקרבן.
Q. האם אני עדיין צריך להתקין עדכון זה אם המכשיר שלי תומך באבטחת כניסה משופרת?
A. אבטחה משופרת של כניסה מקלה על פגיעות זו, אך רק אם התכונה זמינה. גם אם מכשיר כולל את רכיבי החומרה והתוכנה הדרושים, עדיין דרוש לך העדכון שהוזכר לעיל אם התכונה אינה מופעלת. ללא קשר, עליך עדיין להתקין עדכון זה כדי לקבל תיקוני אבטחה אחרים.
Q. האם ניתן להמשיך להשתמש בזיהוי Windows Hello מבלי לעדכן את המערכת שלי?
A. Windows Hello פנים תמשיך לפעול גם אם לא תעדכן את המערכת. אנו ממליצים לך מאוד לעדכן את המערכת שלך, במיוחד אם אתה משתמש נייד.
Q. האם ניתן להפוך Windows Hello זיהוי פנים ללא זמין ולהמשיך להשתמש ב- Windows Hello טביעת אצבע?
A. כן. באפשרותך להסיר אימות פנים של Windows Hello באפשרויות כניסה>Windows Hello פנים כדי לבטל את Windows Hello פנים ולהמשיך להשתמש ב- Window Hello Fingerprint.
