경영진 요약
이 보안 업데이트는 공격자가 Windows Hello 액세스할 수 있도록 이미지를 재생할 수 있는 Windows 10 안면 인식 우회 취약성을 해결합니다. 이 우회에서는 사용자의 물리적 디바이스, 사용자 지정 하드웨어 및 특수한 IR(적외선) 이미지를 완전하게 소유한 물리적 액세스가 필요합니다.
취약성 정보
2021-07 누적 보안 업데이트는 CVE-2021-34466을 해결하고 2021년 7월 13일 릴리스되었습니다.
성공적으로 악용하려면 다음과 같은 전제가 필요합니다.
-
사용자는 얼굴 인증에 Windows Hello 있어야 합니다.
-
공격자는 피해자의 장치에 물리적으로 액세스할 수 있습니다.
-
공격자는 피해자의 적외선 이미지의 소프트코피를 습니다.
-
공격자는 합법적인 얼굴 카메라를 모방하는 사용자 지정 USB Windows Hello 제작합니다. 공격자는 악의적인 카메라를 피해자의 디바이스에 연결하고 항목 3에 언급된 이미지 프레임을 스트리밍합니다.
완화 & 수정
2021년 7월 13일 Microsoft는 이 취약점을 패치하기 위한 다음 수정을 발표했습니다.
-
KB5004237 for Windows 10 버전 2004, 모든 버전, Windows 10, 버전 20H2, 모든 버전 및 Windows 10 버전 21H1, 모든 버전
-
KB5004245 Windows 10 Enterprise, 버전 1909, Windows 10 Enterprise 및 Windows 10 IoT Enterprise 버전 1909
-
2019 LTSC 및 Windows 10 Enterprise LTSC용 KB5004244 Windows 10 IoT Enterprise LTSC
-
KB5004281 for Windows 10 버전 1803(요청 시 사용 가능)
해결 세부 정보
이러한 보안 업데이트는 신뢰할 수 있는 카메라만 얼굴 인증에 사용할 수 있도록 제한을 Windows Hello 구현합니다.
-
기존 Windows Hello 얼굴 인증 사용자 – 이 업데이트를 적용하기 전에 Windows Hello 얼굴 인증에 등록한 사용자입니다. Windows 설치한 후에만 PIN으로 다시 인증하라는 메시지가 표시됩니다.
-
새로운 Windows Hello 얼굴 인증 사용자 – 얼굴 인증에 등록하기 전에 이 업데이트를 Windows Hello 사용자입니다. Windows 얼굴 인증 등록에 사용되는 카메라를 Windows Hello 신뢰합니다.
선택적 구성
보안에 민감한 사용자는 Face에서 사용할 모든 외부 카메라를 사용하지 않도록 설정하도록 다음 레지스트리 값을 Windows Hello 있습니다.
Reg 경로: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
키 이름: "ShouldForbidExternalCameras"
값 = 1
형식: DWORD
숙련된 사용자 또는 IT 전문가는 관리자 명령 프롬프트에서 다음 명령을 실행하여 위의 레지스트리 값을 추가할 수도 있습니다.
reg 추가 "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
이 레지스트리 값을 구성하면 모든 외부 USB 카메라가 Face에서 사용되지 Windows Hello 있습니다. 그러나 사용자는 외부 카메라와 같은 다른 애플리케이션과 함께 외부 카메라를 계속 사용할 Microsoft Teams.
향상된 로그인 보안
향상된 Windows Hello 보안이 있는 고객은 이 취약성으로부터 보호됩니다. 향상된 로그인 보안은 디바이스 제조업체가 시스템에 미리 Windows 특수한 하드웨어, 드라이버 및 펌웨어가 필요한 새로운 보안 기능입니다. 디바이스에서 향상된 로그인 보안에 대한 지원에 대해 알아보시고 장치 제조업체에 문의하세요.
영향을 받는 소프트웨어
다음 Windows 10 기반 시스템은 이 취약성의 영향을 받는다.
-
Windows 10 x64 기반 시스템용 버전 21H1
-
Windows 10 32비트 시스템용 버전 21H1
-
Windows 10 ARM64 기반 시스템용 버전 21H1
-
Windows 10 버전 21H1 ARM 기반 시스템
-
Windows 10 x64 기반 시스템용 버전 20H2
-
Windows 10 32비트 시스템용 버전 20H2
-
Windows 10 ARM64 기반 시스템용 버전 20H2
-
Windows 10 버전 20H2 for ARM 기반 시스템
-
Windows 10 x64 기반 시스템용 버전 2004
-
Windows 10 32비트 시스템용 버전 2004
-
Windows 10 ARM64 기반 시스템용 버전 2004
-
Windows 10 버전 2004 for ARM 기반 시스템
-
Windows 10 x64 기반 시스템용 버전 1909
-
Windows 10 32비트 시스템용 버전 1909
-
Windows 10 ARM64 기반 시스템용 버전 1909
-
Windows 10 버전 1909 for ARM 기반 시스템
-
Windows 10 x64 기반 시스템용 버전 1809
-
Windows 10 32비트 시스템용 버전 1809
-
Windows 10 ARM64 기반 시스템용 버전 1809
-
Windows 10 버전 1809 ARM 기반 시스템
-
Windows 10 x64 기반 시스템용 버전 1803
-
Windows 10 32비트 시스템용 버전 1803
-
Windows 10 ARM64 기반 시스템용 버전 1803
-
Windows 10 버전 1803 for ARM 기반 시스템
자주 묻는 질문
Q. 얼굴 인증과 호환되는 디바이스가 Windows Hello 안면 인식을 사용하도록 설정하지 Windows Hello. 이 취약성에 대해 걱정해야 하나요?
A. 아니요. 이 취약성은 Face와 호환되는 디바이스를 Windows Hello 얼굴 인식 인증에 등록한 사용자에게만 해당됩니다.
Q. 이 취약성으로부터 사용자를 보호하기 위해 어떻게 해야 하나요?
A. 위의 업데이트를 다운로드하여 설치합니다.
Q. 이 취약성으로부터 디바이스를 보호하려면 선택적 레지스트리 설정을 구성해야 하나요?
A. Face 카메라 내부 또는 기본 제공 Windows Hello 사용하는 경우 선택적 레지스트리 값을 추가할 필요가 없습니다. 그러나 모바일 사용자인 경우 디바이스가 분실되거나 도난당할 위험이 있을 수 있습니다. 따라서 외부 카메라를 사용하는 경우 외부 Windows Hello 사용하지 않도록 선택적 레지스트리 값을 추가할 수 있습니다. 레지스트리 값을 추가한 후 모든 외부 USB 카메라가 Windows Hello 사용할 수 없습니다. 사용자는 외부 카메라와 같은 다른 애플리케이션과 함께 외부 카메라를 계속 사용할 Microsoft Teams.
Q. 이 취약성을 원격으로 악용할 수 있나요?
A. 아니요. 이 취약성을 악용하려면 공격자가 피해자의 장치에 대한 전체 물리적 액세스 권한이 있어야 합니다.
Q. 디바이스에서 향상된 로그인 보안을 지원하는 경우 이 업데이트를 설치해야 하나요?
A. 향상된 로그인 보안은 이 취약성을 완화하지만 기능이 활성화된 경우만 완화됩니다. 디바이스에 필요한 하드웨어 및 소프트웨어 구성 요소가 있는 경우에도 기능이 켜지지 않은 경우에도 위에서 언급한 업데이트가 필요합니다. 그럼에도 불구하고 이 업데이트를 설치하여 다른 보안 문제를 해결해야 합니다.
Q. 시스템을 업데이트하지 않고도 Windows Hello 계속 사용할 수 있나요?
A. Windows Hello 업데이트하지 않은 경우에도 얼굴 인식이 계속 작동됩니다. 특히 모바일 사용자인 경우 시스템을 업데이트하는 것이 좋습니다.
Q. 얼굴 인식을 Windows Hello 사용하지 않도록 설정하고 지문을 계속 Windows Hello 수 있나요?
A. 예. Face에서 로그인 옵션에서 Window Hello 얼굴 인증을>Windows Hello 얼굴 Windows Hello 끄고 창 Hello 지문을 계속 사용할 수 있습니다.
