Overordnet sammendrag

Denne sikkerhetsoppdateringen løser et Windows Hello omgåelse av ansiktsgjenkjenning i Windows 10 som gjør at en angriper kan spille av et bilde for å få tilgang til et system. Denne omgåelsen krever fysisk tilgang med fullstendig besittelse av en brukers fysiske enhet, tilpasset maskinvare og et spesialisert infrarødt (IR)-bilde. 

Informasjon om sikkerhetsproblemer

Den kumulative sikkerhetsoppdateringen for 2021-07 tar for seg CVE-2021-34466 og ble utgitt 13. juli 2021.

En vellykket utnyttelse krever følgende forutsetninger:

  1. Brukeren må allerede være registrert i Windows Hello ansiktsgodkjenning.

  2. Angriperen har fysisk tilgang til offerets enhet.

  3. Angriperen har softcopies av offerets infrarøde bilder.

  4. Angriperen lager en egendefinert USB-kameraenhet som etterligner et legitimt Windows Hello Face-kamera. Angriperen kobler det ondsinnede kameraet til offerets enhet og strømmer bilderammene som er nevnt i element tre.

Løsninger & begrensninger

13. juli 2021 lanserte Microsoft følgende løsninger for oppdatering av dette sikkerhetsproblemet:

  • KB5004237 for Windows 10, versjon 2004, alle versjoner, Windows 10, versjon 20H2, alle versjoner og Windows 10, versjon 21H1, alle versjoner

  • KB5004245 for Windows 10 Enterprise, versjon 1909, Windows 10 Enterprise og Utdanning, versjon 1909 og Windows 10 IoT Enterprise, versjon 1909

  • KB5004244 for Windows 10 Enterprise 2019 LTSC og Windows 10 IoT Enterprise 2019 LTSC

  • KB5004281 for Windows 10 versjon 1803 (tilgjengelig ved forespørsel)

Løsningsdetaljer

Disse sikkerhetsoppdateringene implementerer begrensninger slik at bare klarerte kameraer kan brukes med Windows Hello ansiktsgodkjenning.

  • Eksisterende brukere Windows Hello ansiktsgodkjenning – Dette er brukere som har registrert seg Windows Hello ansiktsgodkjenning før du bruker denne oppdateringen. Windows vil be dem om å godkjenne på nytt med PIN-koden bare én gang etter at du har installert denne oppdateringen.

  • Nye Windows Hello for ansiktsgodkjenning – Dette er brukere som bruker denne oppdateringen før de Windows Hello ansiktsgodkjenning. Windows klarerer automatisk kameraet som brukes til Windows Hello ansiktsgodkjenningsregistrering.

Valgfri konfigurasjon

Svært sikkerhetsbevisste brukere kan også konfigurere følgende registerverdi for å deaktivere alle eksterne kameraer for bruk med Windows Hello Face.

Reg Path: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Nøkkelnavn: «ShouldForbidExternalCameras»

Verdi = 1

Type: DWORD

Erfarne brukere eller IT-teknikere kan også legge til registerverdien ovenfor ved å kjøre følgende kommando fra ledeteksten for administrator.

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f

Vær oppmerksom på at konfigurering av denne registerverdien hindrer at alle eksterne USB-kameraer brukes med Windows Hello Face. Brukere kan imidlertid fortsette å bruke det eksterne kameraet med andre programmer, for eksempel Microsoft Teams.

Forbedret påloggingssikkerhet

Kunder med Windows Hello utvidet påloggingssikkerhet er beskyttet mot dette sikkerhetsproblemet. Forbedret påloggingssikkerhet er en ny sikkerhetsfunksjon i Windows som krever spesialisert maskinvare, drivere og fastvare som er forhåndsinstallert på systemet av enhetsprodusenter. Kontakt produsenten av enheten for å finne ut mer om støtte for forbedret påloggingssikkerhet på enheten.

Berørt programvare

Følgende Windows 10 systemer påvirkes av dette sikkerhetsproblemet:

  • Windows 10 Versjon 21H1 for x64-baserte systemer

  • Windows 10 Versjon 21H1 for 32-biters systemer

  • Windows 10 Versjon 21H1 for ARM64-baserte systemer

  • Windows 10 Versjon 21H1 for ARM systemer

  • Windows 10 Versjon 20H2 for x64-baserte systemer

  • Windows 10 Versjon 20H2 for 32-biters systemer

  • Windows 10 Versjon 20H2 for ARM64-baserte systemer

  • Windows 10 Versjon 20H2 for ARM systemer

  • Windows 10 Versjon 2004 for x64-baserte systemer

  • Windows 10 Versjon 2004 for 32-biters systemer

  • Windows 10 Versjon 2004 for ARM64-baserte systemer

  • Windows 10 Versjon 2004 for ARM systemer

  • Windows 10 Versjon 1909 for x64-baserte systemer

  • Windows 10 Versjon 1909 for 32-biters systemer

  • Windows 10 Versjon 1909 for ARM64-baserte systemer

  • Windows 10 Versjon 1909 for ARM systemer

  • Windows 10 Versjon 1809 for x64-baserte systemer

  • Windows 10 Versjon 1809 for 32-biters systemer

  • Windows 10 Versjon 1809 for ARM64-baserte systemer

  • Windows 10 Versjon 1809 for ARM systemer

  • Windows 10 Versjon 1803 for x64-baserte systemer

  • Windows 10 Versjon 1803 for 32-biters systemer

  • Windows 10 Versjon 1803 for ARM64-baserte systemer

  • Windows 10 Versjon 1803 for ARM systemer

Vanlige spørsmål

Q. Jeg har ikke en enhet som er kompatibel med Windows Hello ansiktsgodkjenning, eller jeg har ikke aktivert ansiktsgjenkjenning med Windows Hello. Må jeg bekymre meg for dette sikkerhetsproblemet?

A. Nei. Dette sikkerhetsproblemet gjelder bare for brukere som har en enhet som er kompatibel med Windows Hello Face og har registrert seg for godkjenning av ansiktsgjenkjenning.

Q. Hva bør jeg gjøre for å beskytte brukerne mot dette sikkerhetsproblemet?

A. Last ned og installer oppdateringene ovenfor.

Q. Må jeg konfigurere den valgfrie registerinnstillingen for å sikre enhetene mine fra dette sikkerhetsproblemet?

A. Hvis du bare bruker et internt eller innebygd Windows Hello Face-kamera, trenger du ikke å legge til den valgfrie registerverdien. Hvis du imidlertid er en mobilbruker, kan enheten være i fare for å bli mistet eller stjålet. Du kan derfor legge til den valgfrie registerverdien for å hindre bruk av eksterne Windows Hello Face-kameraer hvis du bruker et eksternt kamera. Vær oppmerksom på at alle eksterne USB-kameraer blokkeres fra å bli brukt Windows Hello Face etter at du har lagt til registerverdien. Brukere kan fortsette å bruke et eksternt kamera med andre programmer, for eksempel Microsoft Teams.

Q. Kan dette sikkerhetsproblemet utnyttes eksternt?

A. Nei. Hvis du vil utnytte dette sikkerhetsproblemet, må angriperen ha full fysisk tilgang til offerets enhet.

Spørsmål. Må jeg fortsatt installere denne oppdateringen hvis enheten støtter utvidet påloggingssikkerhet?

A. Forbedret påloggingssikkerhet begrenser dette sikkerhetsproblemet, men bare hvis funksjonen er aktivert. Selv om en enhet har de nødvendige maskinvare- og programvarekomponentene, trenger du fortsatt oppdateringen som er nevnt ovenfor, hvis funksjonen ikke er slått på. Uansett bør du likevel installere denne oppdateringen for å få andre sikkerhetsoppdateringer.

Q. Kan jeg fortsette å bruke Windows Hello ansiktsgjenkjenning uten å oppdatere systemet?

A. Windows Hello ansiktsgjenkjenning vil fortsette å fungere selv om du ikke oppdaterer systemet. Vi anbefaler deg å oppdatere systemet, spesielt hvis du er en mobilbruker.

Spørsmål. Kan jeg deaktivere Windows Hello ansiktsgjenkjenning og fortsette å bruke Windows Hello fingeravtrykk?

A. Ja. Du kan fjerne Ansiktsgodkjenning for Window Hello i Påloggingsalternativer >Windows Hello Face for å slå av Windows Hello Face og fortsette å bruke Window Hello Fingerprint.

Trenger du mer hjelp?

Utvid ferdighetene dine

Utforsk opplæring >

Vær først ute med de nye funksjonene

BLI MED I MICROSOFT INSIDERS >

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?

Takk for tilbakemeldingen!

×