Resumo Executivo
Esta atualização de segurança resolve um reconhecimento facial Windows Hello desativar a vulnerabilidade no Windows 10 que permite que um atacante reproduz uma imagem para aceder a um sistema. Este deslize necessita de acesso físico, com total esforço do dispositivo físico, hardware personalizado e uma imagem de infravermelhos (IR) especializado.
Informações de Vulnerabilidade
Os endereços de atualização de segurança cumulativa CVE-2021-34466 de 2021 a 07 e foi lançada a 13 de julho de 2021.
Uma exploit de sucesso requer os seguintes pré-requisitos:
-
O utilizador já tem de estar inscrito na autenticação Windows Hello face.
-
O atacante tem acesso físico ao dispositivo da vítima.
-
O atacante tem os seus softcopies das imagens infravermelhos da vítima.
-
O atacante cria um dispositivo de câmara USB personalizado que imita uma câmara Windows Hello Face. O atacante liga a câmara maliciosa ao dispositivo da vítima e transmite em fluxo as molduras de imagem mencionadas no item três.
Correções & Mitigações
A 13 de julho de 2021, a Microsoft lançou as seguintes correções para corrigir esta vulnerabilidade:
-
KB5004237 para Windows 10, versão 2004, todas as edições, Windows 10, versão 20H2, todas as edições e Windows 10, versão 21H1, todas as edições
-
KB5004245 para Windows 10 Enterprise, versão 1909, Windows 10 Enterprise e Educação, versão 1909 e Windows 10 IoT Enterprise, versão 1909
-
KB5004244 para Windows 10 Enterprise 2019 LTSC e Windows 10 IoT Enterprise 2019 LTSC
-
KB5004281 para Windows 10 1803 (Disponível a pedido)
Detalhes da resolução
Estas atualizações de segurança implementam restrições para que apenas as câmaras de confiança sejam permitidas com a autenticação Windows Hello face.
-
Utilizadores Windows Hello autenticação face a – estes são os utilizadores que se inscreveram na autenticação Windows Hello rosto antes de aplicar esta atualização. Windows irá pedir-lhes para voltarem a autenticar com o pin apenas uma vez depois de instalar esta atualização.
-
Novos Windows Hello de autenticação face – estes são os utilizadores que aplicam esta atualização antes de se inscreverem na autenticação Windows Hello face. Windows confiará automaticamente na câmara utilizada para a inscrição Windows Hello autenticação face.
Configuração opcional
Os utilizadores extremamente cautelosos também podem configurar o seguinte valor de registo para desativar todas as câmaras externas para utilização com o Windows Hello Face.
Caminho do Reg: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Nome da Chave: "ShouldForbidExternalCameras"
Valor = 1
Tipo: DWORD
Os utilizadores experientes ou profissionais de IT também podem adicionar o valor de registo acima ao executar o seguinte comando a partir da lista de comandos de administrador.
reg adicione "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
Tenha em atenção que a configuração deste valor de registo impedirá que todas as câmaras USB externas seja utilizadas com o Windows Hello Face. No entanto, os utilizadores podem continuar a utilizar a câmara externa com outras aplicações como Microsoft Teams.
Segurança de Assinatura Melhorada
Os clientes Windows Hello Segurança de Sign-in Melhorada estão protegidos contra esta vulnerabilidade. A Segurança de Sessão Melhorada é uma nova funcionalidade de segurança do Windows que necessita de hardware, controldores e firmware especializados pré-instalados no sistema por fabricantes de dispositivos. Contacte o fabricante do dispositivo para saber mais sobre o suporte para a Segurança de Lote Melhorada no seu dispositivo.
Software Afetado
Os seguintes Windows 10 baseados em empresas são afetados por esta vulnerabilidade:
-
Windows 10 Versão 21H1 para Sistemas baseados em x64
-
Windows 10 Versão 21H1 para Sistemas de 32 bits
-
Windows 10 Versão 21H1 para Sistemas baseados em ARM64
-
Windows 10 Versão 21H1 para Sistemas ARM baseados em ARM
-
Windows 10 Versão 20H2 para Sistemas baseados em x64
-
Windows 10 Versão 20H2 para Sistemas de 32 bits
-
Windows 10 Versão 20H2 para Sistemas baseados em ARM64
-
Windows 10 Versão 20H2 para Sistemas ARM baseados em ARM
-
Windows 10 Versão 2004 para Sistemas baseados em x64
-
Windows 10 Versão 2004 para Sistemas de 32 bits
-
Windows 10 Versão 2004 para Sistemas baseados em ARM64
-
Windows 10 Versão 2004 para Sistemas ARM baseados em ARM
-
Windows 10 Versão 1909 para Sistemas baseados em x64
-
Windows 10 Versão 1909 para Sistemas de 32 bits
-
Windows 10 Versão 1909 para Sistemas baseados em ARM64
-
Windows 10 Versão 1909 para Sistemas ARM baseados em ARM
-
Windows 10 Versão 1809 para Sistemas baseados em x64
-
Windows 10 Versão 1809 para Sistemas de 32 bits
-
Windows 10 Versão 1809 para Sistemas baseados em ARM64
-
Windows 10 Versão 1809 para Sistemas ARM baseados em ARM
-
Windows 10 Versão 1803 para Sistemas baseados em x64
-
Windows 10 Versão 1803 para Sistemas de 32 bits
-
Windows 10 Versão 1803 para Sistemas baseados em ARM64
-
Windows 10 Versão 1803 para Sistemas ARM baseados em ARM
Perguntas Mais Frequentes
Q. Não tenho um dispositivo compatível com a autenticação facial Windows Hello ou não ativo o reconhecimento facial com o Windows Hello. Tenho de me preocupar com esta vulnerabilidade?
A. Não. Esta vulnerabilidade só é aplicável aos utilizadores que têm um dispositivo compatível com o Windows Hello Rosto e que se tenham inscrito na autenticação de reconhecimento facial.
Q. O que devo fazer para proteger os meus utilizadores desta vulnerabilidade?
A. Transfira e instale as atualizações acima.
Q. Tenho de configurar a definição de registo opcional para proteger os meus dispositivos desta vulnerabilidade?
A. Se utilizar apenas uma câmara interna ou Windows Hello de rosto, não precisa de adicionar o valor de registo opcional. No entanto, se for um utilizador móvel, o seu dispositivo poderá estar em risco de ser perdido ou roubado. Assim, pode adicionar o valor de registo opcional para impedir a utilização de câmaras Windows Hello rosto, se utilizar uma câmara externa. Tenha em atenção que todas as câmaras USB externas não serão utilizadas com o Windows Hello Face após adicionar o valor de registo. Os utilizadores podem continuar a utilizar uma câmara externa com outras aplicações como a Microsoft Teams.
Q. Esta vulnerabilidade pode ser explorada remotamente?
A. Não. Para explorar esta vulnerabilidade, o atacante tem de ter acesso físico total ao dispositivo da vítima.
P. Continuo a precisar de instalar esta atualização se o meu dispositivo suportar Segurança de Funcionamento Melhorada?
A. A Segurança de Sign-in melhorada atenua esta vulnerabilidade, mas apenas se a funcionalidade estiver ativada. Mesmo que um dispositivo tenha os componentes de hardware e software necessários, ainda precisa da atualização mencionada acima se a funcionalidade não estiver ativada. Independentemente disso, deve instalar esta atualização para obter outras correções de segurança.
Q. Posso continuar a utilizar o reconhecimento Windows Hello facial sem atualizar o meu sistema?
A. Windows Hello reconhecimento facial continuará a funcionar mesmo que não atualize o sistema. Recomendamos vivamente que atualize o seu sistema, particularmente se for um utilizador móvel.
P. Posso desativar a Windows Hello facial e continuar a utilizar a impressão Windows Hello impressão digital?
A. Sim. Pode remover as opções de autenticação cara a cara do Window Hello nas opções de>Windows Hello Rosto para Windows Hello Rosto e continuar a utilizar a impressão digital Window Hello.