Samenvatting van leidinggevenden

Met deze beveiligingsupdate wordt een beveiligingsprobleem Windows Hello gezichtsherkenning in een Windows 10 waarmee een aanvaller een afbeelding kan afspelen om toegang te krijgen tot een systeem. Deze bypass vereist fysieke toegang met volledig bezit van het fysieke apparaat van een gebruiker, aangepaste hardware en een gespecialiseerde IR-afbeelding (IR). 

Informatie over kwetsbaarheid

De cumulatieve beveiligingsupdate 2021-07 heeft betrekking op CVE-2021-34466 en is uitgebracht op 13 juli 2021.

Voor een geslaagde exploit zijn de volgende vereisten vereist:

  1. De gebruiker moet al zijn geregistreerd voor Windows Hello gezichtsverificatie.

  2. De aanvaller heeft fysieke toegang tot het apparaat van het slachtoffer.

  3. De aanvaller heeft softcopies van de infraroodafbeeldingen van het slachtoffer.

  4. De aanvaller maakt een aangepast USB-cameraapparaat dat een legitieme camera Windows Hello gezicht nabootst. De aanvaller sluit de schadelijke camera aan op het apparaat van het slachtoffer en streamt de afbeeldingsframes die in item drie worden genoemd.

Oplossingen & mitigaties

Op 13 juli 2021 heeft Microsoft de volgende oplossingen uitgebracht voor het patchen van dit beveiligingsprobleem:

  • KB5004237 voor Windows 10, versie 2004, alle edities, Windows 10, versie 20H2, alle edities en Windows 10, versie 21H1, alle edities

  • KB5004245 voor Windows 10 Enterprise, versie 1909, Windows 10 Enterprise en Onderwijs, versie 1909 en Windows 10 IoT Enterprise, versie 1909

  • KB5004244 voor Windows 10 Enterprise 2019 LTSC en Windows 10 IoT Enterprise 2019 LTSC

  • KB5004281 voor Windows 10 versie 1803 (Beschikbaar op aanvraag)

Details van resolutie

Met deze beveiligingsupdates worden beperkingen geïmplementeerd, zodat alleen vertrouwde camera's mogen worden gebruikt met Windows Hello gezichtsverificatie.

  • Bestaande Windows Hello gebruikers van gezichtsverificatie: dit zijn gebruikers die zich hebben geregistreerd voor Windows Hello gezichtsverificatie voordat ze deze update toepassen. Windows wordt hen gevraagd om hun pincode slechts eenmaal opnieuw te verifiëren na de installatie van deze update.

  • Nieuwe Windows Hello gebruikers van gezichtsverificatie: dit zijn gebruikers die deze update toepassen voordat ze zich registreren Windows Hello gezichtsverificatie. Windows de camera die wordt gebruikt voor het registreren van gezichtsverificatie Windows Hello automatisch vertrouwen.

Optionele configuratie

Zeer beveiligingsbewuste gebruikers kunnen ook de volgende registerwaarde configureren om alle externe camera's uit te schakelen voor gebruik met Windows Hello Face.

Reg-pad: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Sleutelnaam: "ShouldForbidExternalCameras"

Waarde = 1

Type: DWORD

Ervaren gebruikers of IT-professionals kunnen ook de bovenstaande registerwaarde toevoegen door de volgende opdracht uit te voeren vanuit de opdrachtprompt van de beheerder.

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f

Houd er rekening mee dat als u deze registerwaarde configureert, alle externe USB-camera's niet kunnen worden gebruikt met Windows Hello Face. Gebruikers kunnen echter de externe camera blijven gebruiken met andere toepassingen, zoals Microsoft Teams.

Verbeterde aanmeldingsbeveiliging

Klanten met Windows Hello verbeterde aanmeldingsbeveiliging zijn beveiligd tegen dit beveiligingsprobleem. Verbeterde aanmeldingsbeveiliging is een nieuwe beveiligingsfunctie in Windows die speciale hardware, stuurprogramma's en firmware vereist die vooraf op het systeem zijn geïnstalleerd door fabrikanten van apparaten. Neem contact op met de fabrikant van uw apparaat voor meer informatie over ondersteuning voor verbeterde aanmeldingsbeveiliging op uw apparaat.

Betrokken software

De volgende Windows 10 systemen worden beïnvloed door dit beveiligingsprobleem:

  • Windows 10 Versie 21H1 voor op x64 gebaseerde systemen

  • Windows 10 Versie 21H1 voor 32-bits systemen

  • Windows 10 Versie 21H1 voor arm64-systemen

  • Windows 10 Versie 21H1 voor ARM systemen

  • Windows 10 Versie 20H2 voor op x64 gebaseerde systemen

  • Windows 10 Versie 20H2 voor 32-bits systemen

  • Windows 10 Versie 20H2 voor arm64-systemen

  • Windows 10 Versie 20H2 voor ARM systemen

  • Windows 10 Versie 2004 voor op x64 gebaseerde systemen

  • Windows 10 Versie 2004 voor 32-bits systemen

  • Windows 10 Versie 2004 voor arm64-systemen

  • Windows 10 Versie 2004 voor ARM systemen

  • Windows 10 Versie 1909 voor op x64 gebaseerde systemen

  • Windows 10 Versie 1909 voor 32-bits systemen

  • Windows 10 Versie 1909 voor arm64-systemen

  • Windows 10 Versie 1909 voor ARM systemen

  • Windows 10 Versie 1809 voor op x64 gebaseerde systemen

  • Windows 10 Versie 1809 voor 32-bits systemen

  • Windows 10 Versie 1809 voor arm64-systemen

  • Windows 10 Versie 1809 voor ARM systemen

  • Windows 10 Versie 1803 voor op x64 gebaseerde systemen

  • Windows 10 Versie 1803 voor 32-bits systemen

  • Windows 10 Versie 1803 voor arm64-systemen

  • Windows 10 Versie 1803 voor ARM systemen

Veelgestelde vragen

Q. Ik heb geen apparaat dat compatibel is met gezichtsverificatie Windows Hello gezichtsherkenning of ik heb gezichtsherkenning niet ingeschakeld met Windows Hello. Moet ik me zorgen maken over dit beveiligingsprobleem?

A. Nee. Dit beveiligingsprobleem is alleen van toepassing op gebruikers die een apparaat hebben dat compatibel is met Windows Hello Face en zich hebben geregistreerd voor gezichtsherkenningsverificatie.

Q. Wat moet ik doen om mijn gebruikers tegen dit beveiligingsprobleem te beschermen?

A. Download en installeer de bovenstaande updates.

Q. Moet ik de optionele registerinstelling configureren om mijn apparaten te beveiligen tegen dit beveiligingsprobleem?

A. Als u alleen een interne of ingebouwde camera Windows Hello Gezichtscamera, hoeft u de optionele registerwaarde niet toe te voegen. Als u echter een mobiele gebruiker bent, loopt uw apparaat mogelijk het risico verloren of gestolen te worden. Daarom kunt u de optionele registerwaarde toevoegen om het gebruik van externe Windows Hello gezichtscamera's te voorkomen als u een externe camera gebruikt. Houd er rekening mee dat alle externe USB-camera's worden geblokkeerd voor gebruik met Windows Hello Face nadat u de registerwaarde hebt toevoegen. Gebruikers kunnen een externe camera blijven gebruiken met andere toepassingen, zoals Microsoft Teams.

Q. Kan dit beveiligingsprobleem op afstand worden misbruikt?

A. Nee. Als u dit beveiligingsprobleem wilt misbruiken, moet de aanvaller volledige fysieke toegang hebben tot het apparaat van het slachtoffer.

V. Moet ik deze update nog steeds installeren als mijn apparaat verbeterde aanmeldingsbeveiliging ondersteunt?

A. Verbeterde aanmeldingsbeveiliging beperkt dit beveiligingsprobleem, maar alleen als de functie is ingeschakeld. Zelfs als een apparaat de benodigde hardware- en softwareonderdelen heeft, hebt u de hierboven genoemde update nog steeds nodig als de functie niet is ingeschakeld. Hoe dan ook, u moet deze update nog steeds installeren om andere beveiligingsfixes op te halen.

Q. Kan ik doorgaan met het gebruik Windows Hello gezichtsherkenning zonder mijn systeem bij te werken?

A. Windows Hello gezichtsherkenning blijft werken, zelfs als u uw systeem niet bijwerkt. We raden u ten zeerste aan uw systeem bij te werken, met name als u een mobiele gebruiker bent.

V. Kan ik de Windows Hello gezichtsherkenning uitschakelen en de vingerafdruk Windows Hello blijven gebruiken?

A. Jawel. U kunt gezichtsverificatie van Venster Hello verwijderen in Aanmeldingsopties>Windows Hello Face om de gezichtsherkenning Windows Hello uit te schakelen en Window Hello Fingerprint te blijven gebruiken.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×