Резюме
Это обновление для системы безопасности устраняет Windows Hello распознавания лиц в Windows 10, что позволяет злоумышленнику воспроизведение изображения для доступа к системе. Для этого обхода требуется физический доступ с полным доступом к физическому устройству пользователя, пользовательскому оборудованию и специальному инфракрасному изображению.
Сведения об уязвимости
Накопительный срок обновления для системы безопасности CVE-2021–34466 за 2021–2007 г. выпущен 13 июля 2021 г.
Для успешного эксплойта требуются следующие условия:
-
Пользователь должен быть зарегистрирован в Windows Hello проверки подлинности лица.
-
Злоумышленник имеет физический доступ к устройству злоумышленника.
-
Злоумышленник имеет скайпкопы изображений инфракрасных изображений.
-
Злоумышленник взломает пользовательское УСТРОЙСТВО USB-камеры, которое имитируют Windows Hello камеры лица. Злоумышленник подключает вредоносную камеру к устройству злоумышленника и передает кадры изображений, упомянутые в элементе 3.
Исправления & устранения проблемы
13 июля 2021 г. корпорация Майкрософт выпустила следующие исправления для исправления этой уязвимости:
-
KB5004237 для Windows 10, версия 2004, все выпуски, Windows 10, версия 20H2, все выпуски и Windows 10, версия 21H1, все выпуски
-
KB5004245 для Windows 10 Корпоративная, версия 1909, Windows 10 Корпоративная и для образования, версия 1909 и Windows 10 IoT Корпоративная, версия 1909
-
KB5004244 для Windows 10 Корпоративная LTSC и Windows 10 IoT Корпоративная 2019 LTSC
-
KB5004281 для Windows 10 версии 1803 (доступно по запросу)
Сведения о разрешении
Эти обновления для системы безопасности применяют ограничения, чтобы разрешить использовать только надежные камеры для Windows Hello проверки подлинности лиц.
-
Существующие Windows Hello проверки подлинности лица — это пользователи, которые зарегистрировались Windows Hello проверки подлинности перед применением этого обновления. Windows запросит повторную проверку подлинности с помощью ПИН-кода только один раз после установки этого обновления.
-
Новые Windows Hello проверки подлинности: это пользователи, которые применяют это обновление перед Windows Hello проверки подлинности. Windows будет автоматически доверять камере, используемой для Windows Hello проверки подлинности лица.
Необязательная конфигурация
Пользователи с высокой безопасностью также могут настроить в реестре следующее значение, чтобы отключить все внешние камеры для использования с Windows Hello Face.
Reg Path: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Имя ключа: "ShouldForbidExternalCameras"
Значение = 1
Тип: DWORD
Опытные пользователи и ИТ-специалисты также могут добавить значение выше в реестр, выдав следующую команду из командной команды администратора:
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
Обратите внимание, что при настройке этого значения реестра все внешние USB-камеры не будут использоваться с Windows Hello Face. Однако пользователи могут продолжать использовать внешнюю камеру с другими приложениями, такими как Microsoft Teams.
Улучшенная безопасность при входе
Клиенты с Windows Hello безопасностью при входе защищены от этой уязвимости. Улучшенная безопасность при входе — это новая функция безопасности в Windows которая требует специализированного оборудования, драйверов и постройки, предварительно установленных в системе производителями устройств. Обратитесь к производителю устройства, чтобы узнать о поддержке расширенной защиты при входе на устройстве.
Затронутый программный продукт
Эта уязвимость Windows 10 следующих систем:
-
Windows 10 Версия 21H1 для 64-х систем
-
Windows 10 Версия 21H1 для 32-битных систем
-
Windows 10 Версия 21H1 для систем на основе ARM64
-
Windows 10 Версия 21H1 для систем на основе ARM
-
Windows 10 Версия 20H2 для систем на базе 64-х систем
-
Windows 10 Версия 20H2 для 32-битных систем
-
Windows 10 Версия 20H2 для систем на основе ARM64
-
Windows 10 Версия 20H2 для систем на основе ARM
-
Windows 10 Версия 2004 для систем на базе 64-систем
-
Windows 10 Версия 2004 для 32-битных систем
-
Windows 10 Версия 2004 для систем на основе ARM64
-
Windows 10 Версия 2004 для систем на основе ARM
-
Windows 10 Версия 1909 для систем на базе 64-х систем
-
Windows 10 Версия 1909 для 32-битных систем
-
Windows 10 Версия 1909 для систем на основе ARM64
-
Windows 10 Версия 1909 для систем на основе ARM
-
Windows 10 Версия 1809 для систем на базе x64
-
Windows 10 Версия 1809 для 32-битных систем
-
Windows 10 Версия 1809 для систем на основе ARM64
-
Windows 10 Версия 1809 для систем на основе ARM
-
Windows 10 Версия 1803 для систем на базе x64
-
Windows 10 Версия 1803 для 32-битных систем
-
Windows 10 Версия 1803 для систем на основе ARM64
-
Windows 10 Версия 1803 для систем на основе ARM
Часто задаваемые вопросы
Q. У меня нет устройства, совместимого с проверкой подлинности Windows Hello лица, или я не включил распознавание лиц Windows Hello. Нужно ли беспокоиться об этой уязвимости?
A. Нет. Эта уязвимость относится только к тем пользователям, у которых есть устройство, совместимое с Windows Hello Face и зарегистрированное в проверке подлинности распознавания лиц.
Q. Что делать, чтобы защитить пользователей от этой уязвимости?
A. Скачайте и установите эти обновления.
Q. Нужно ли настраивать необязательный параметр реестра для защиты устройств от этой уязвимости?
A. Если вы используете только внутреннюю или встроенную Windows Hello, необязательное значение реестра добавлять не нужно. Однако если вы мобильный пользователь, возможно, ваше устройство может быть потеряно или украдено. Таким образом, вы можете добавить необязательное значение реестра, чтобы запретить использование внешних Windows Hello лиц при использовании внешней камеры. Обратите внимание, что после добавления значения реестра все внешние USB-камеры будут заблокированы для Windows Hello Face. Пользователи могут продолжать использовать внешнюю камеру с другими приложениями, такими как Microsoft Teams.
Q. Можно ли использовать эту уязвимость удаленно?
A. Нет. Чтобы использовать эту уязвимость, злоумышленник должен иметь полный физический доступ к устройству этого злоумышленника.
Вопрос. Нужно ли устанавливать это обновление, если устройство поддерживает расширенные возможности защиты при входе?
A. Улучшенная безопасность входа устраняет эту уязвимость, но только в том случае, если эта функция включена. Даже если устройство оснащено необходимым оборудованием и компонентами программного обеспечения, вам по-прежнему потребуется упомянутый выше обновление, если эта функция не включена. Независимо от того, следует ли установить это обновление, чтобы получить другие исправления для системы безопасности.
Q. Можно ли продолжать использовать распознавание лиц Windows Hello без обновления системы?
A. Windows Hello распознавание лиц по-прежнему будет работать, даже если вы не обновите систему. Мы настоятельно рекомендуем вам обновить систему, особенно если вы мобильный пользователь.
Вопрос. Можно ли отключить распознавание лиц Windows Hello и продолжать использовать распознавание Windows Hello отпечатка пальца?
A. Да. Вы можете удалить проверку подлинности Распознавание лица Window Hello в параметрах>Windows Hello, чтобы отключить распознавание Windows Hello Распознавание лица и продолжить использовать функцию Распознавание отпечатков пальцев Window Hello.
