Rezumat director
Această actualizare de securitate rezolvă o vulnerabilitate Windows Hello de recunoaștere facială în Windows 10 care îi permite unui atacant să redea o imagine pentru a obține acces la un sistem. Această ocolire necesită acces fizic cu posesia completă a dispozitivului fizic al unui utilizator, a hardware-ului particularizat și a unei imagini cu infraroșu (IR) specializate.
Informații despre vulnerabilitate
Actualizarea cumulativă 2021-07 a adreselor CVE-2021-34466 și a fost lansată pe 13 iulie 2021.
Un exploit cu succes necesită următoarele cerințe preliminare:
-
Utilizatorul trebuie să fie înscris deja în autentificarea Windows Hello față.
-
Atacantul are acces fizic la dispozitivul victimei.
-
Atacantul are imagini cu infraroșu pentru victimă.
-
Atacantul conceput un dispozitiv de cameră USB particularizat care imită o cameră cu Windows Hello frontală. Atacantul conectează camera rău intenționată la dispozitivul victimei și redă în flux cadrele imagine menționate în elementul trei.
Remedieri & atenuare
Pe 13 iulie 2021, Microsoft a lansat următoarele remedieri pentru corecția acestei vulnerabilități:
-
KB5004237 pentru Windows 10, versiunea 2004, toate edițiile, Windows 10, versiunea 20H2, toate edițiile și Windows 10, versiunea 21H1, toate edițiile
-
KB5004245 pentru Windows 10 Enterprise, versiunea 1909, Windows 10 Enterprise și Education, versiunea 1909 și Windows 10 IoT Enterprise, versiunea 1909
-
KB5004244 pentru Windows 10 Enterprise 2019 LTSC și Windows 10 IoT Enterprise 2019 LTSC
-
KB5004281 pentru Windows 10 1803 (disponibil la cerere)
Detalii rezolvare
Aceste actualizări de securitate implementează restricții, astfel încât se pot utiliza numai camere de încredere cu Windows Hello cu feței.
-
Utilizatorii Windows Hello cu fețe care se autentifică – Aceștia sunt utilizatorii care s-Windows Hello în autentificarea cu fețe înainte de a aplica această actualizare. Windows va solicita să se autentifice din nou cu codul PIN o singură dată după ce instalează această actualizare.
-
Utilizatori Windows Hello cu fețe - Aceștia sunt utilizatorii care aplică această actualizare înainte de a se înscrie la Windows Hello face authentication. Windows va avea încredere automat în camera utilizată pentru înregistrarea în Windows Hello a autentificării feței.
Configurație opțională
Utilizatorii foarte conștienți de securitate pot configura, de asemenea, următoarea valoare de registry pentru a dezactiva toate camerele externe pentru utilizare cu Windows Hello Face.
Reg Path: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Nume cheie: "ShouldForbidExternalCameras"
Valoare = 1
Tip: DWORD
Utilizatorii experimentați sau specialiștii IT pot adăuga, de asemenea, valoarea de registry de mai sus rulezând următoarea comandă din linia de comandă a administratorului.
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
Rețineți că configurarea acestei valori de registry va împiedica utilizarea tuturor camerelor USB externe cu Windows Hello Face. Totuși, utilizatorii pot continua să folosească camera externă cu alte aplicații, cum ar fi Microsoft Teams.
Securitate îmbunătățită de conectare
Clienții cu Windows Hello de conectare îmbunătățită sunt protejați împotriva acestei vulnerabilități. Securitate îmbunătățită de conectare este o nouă caracteristică de securitate în Windows care necesită hardware, drivere și firmware specializate, preinstalate pe sistem de către producătorii de dispozitive. Contactați producătorul dispozitivului pentru a afla despre suportul pentru securitatea la conectare îmbunătățită pe dispozitivul dvs.
Software afectat
Următoarele sisteme Windows 10 sunt afectate de această vulnerabilitate:
-
Windows 10 Versiunea 21H1 pentru sisteme x64
-
Windows 10 Versiunea 21H1 pentru sistemele pe 32 de biți
-
Windows 10 Versiunea 21H1 pentru sistemele de tip ARM64
-
Windows 10 Versiunea 21H1 pentru sistemele de tip ARM
-
Windows 10 Versiunea 20H2 pentru sisteme x64
-
Windows 10 Versiunea 20H2 pentru sistemele pe 32 de biți
-
Windows 10 Versiunea 20H2 pentru sistemele de tip ARM64
-
Windows 10 Versiunea 20H2 pentru sistemele de tip ARM
-
Windows 10 Versiunea 2004 pentru sisteme x64
-
Windows 10 Versiunea 2004 pentru sistemele pe 32 de biți
-
Windows 10 Versiunea 2004 pentru sistemele de tip ARM64
-
Windows 10 Versiunea 2004 pentru sistemele de tip ARM
-
Windows 10 Versiunea 1909 pentru sisteme x64
-
Windows 10 Versiunea 1909 pentru sistemele pe 32 de biți
-
Windows 10 Versiunea 1909 pentru sistemele de tip ARM64
-
Windows 10 Versiunea 1909 pentru sistemele de tip ARM
-
Windows 10 Versiunea 1809 pentru sisteme x64
-
Windows 10 Versiunea 1809 pentru sistemele pe 32 de biți
-
Windows 10 Versiunea 1809 pentru sistemele de tip ARM64
-
Windows 10 Versiunea 1809 pentru sistemele de tip ARM
-
Windows 10 Versiunea 1803 pentru sisteme x64
-
Windows 10 Versiunea 1803 pentru sistemele pe 32 de biți
-
Windows 10 Versiunea 1803 pentru sistemele de tip ARM64
-
Windows 10 Versiunea 1803 pentru sistemele de tip ARM
Întrebări frecvente
Q. Nu am un dispozitiv compatibil cu autentificarea Windows Hello față sau nu am activat recunoașterea facială cu Windows Hello. Trebuie să-mi fac griji pentru această vulnerabilitate?
A. Nu. Această vulnerabilitate este aplicabilă doar utilizatorilor care au un dispozitiv compatibil cu Windows Hello și au înscris în autentificarea cu recunoaștere facială.
Q. Ce ar trebui să fac pentru a-mi proteja utilizatorii de această vulnerabilitate?
A. Descărcați și instalați actualizările de mai sus.
Q. Trebuie să configurez setarea opțională de registry pentru a-mi securiza dispozitivele de această vulnerabilitate?
A. Dacă utilizați doar o cameră web internă sau Windows Hello face, nu trebuie să adăugați valoarea de registry opțională. Cu toate acestea, dacă sunteți utilizator mobil, dispozitivul dvs. ar putea risca să fie pierdut sau furat. Prin urmare, puteți adăuga valoarea de registry opțională pentru a împiedica utilizarea camerelor de Windows Hello față dacă utilizați o cameră externă. Rețineți că toate camerele USB externe vor fi blocate pentru a fi utilizate cu Windows Hello Face după ce adăugați valoarea de registry. Utilizatorii pot continua să folosească o cameră externă cu alte aplicații, cum ar fi Microsoft Teams.
Q. Această vulnerabilitate poate fi exploatată la distanță?
A. Nu. Pentru a exploata această vulnerabilitate, atacantul trebuie să aibă acces fizic complet la dispozitivul victimei.
Întrebări șirăspunsuri Trebuie să instalez încă această actualizare dacă dispozitivul meu acceptă securitate îmbunătățită de conectare?
A. Securitatea la conectare îmbunătățită atenuează această vulnerabilitate, dar numai dacă este activată caracteristica. Chiar dacă un dispozitiv are componentele hardware și software necesare, încă aveți nevoie de actualizarea menționată mai sus dacă această caracteristică nu este activată. Oricum, ar trebui să instalați în continuare această actualizare pentru a obține alte remedieri de securitate.
Q. Pot continua să utilizez recunoașterea facială Windows Hello fără a actualiza sistemul?
A. Windows Hello facială va continua să lucreze chiar dacă nu actualizați sistemul. Vă recomandăm să actualizați sistemul, mai ales dacă sunteți utilizator mobil.
Întrebări șirăspunsuri Pot să dezactivez Windows Hello facială și să utilizez în continuare Windows Hello amprentelor?
A. Da. Puteți elimina opțiunile de conectare la autentificarea feței Window Hello>Windows Hello face pentru a dezactiva Windows Hello Face și a continua să utilizați amprentă Window Hello.
