Súhrn vedúcich pracovníkov
Táto aktualizácia zabezpečenia rieši chybu Windows Hello rozpoznávania tváre pri Windows 10, ktorá umožňuje útočníkovi prehrať si obrázok na získanie prístupu k systému. Tento obídenie vyžaduje fyzický prístup s úplným prístupom k fyzickému zariadeniu používateľa, vlastnému hardvéru a špecializovanému infračervenému obrázku (IR).
Informácie o nedostatočného zabezpečenia
Kumulatívna aktualizácia zabezpečenia 2021-07 CVE-2021-34466 a bola vydaná 13. júla 2021.
Úspešné zneužitie vyžaduje nasledujúce požiadavky:
-
Používateľ už musí byť zaregistrovaný vo Windows Hello tvárou overenia.
-
Útočník má fyzický prístup k zariadeniu obeť.
-
Útočník má jemné kópie infračervených obrázkov o obeť.
-
Útok zo zariadenia na útok z vlastného USB fotoaparátu, ktoré napodobňujú legitímnu Windows Hello tvárou vo fotoaparáte. Útočník zapojí zlomyseľný fotoaparát do zariadenia, ktoré má obeť, a streamuje rámy obrázkov uvedené v položke tri.
Opravy & na obmedzenie rizík
13. júla 2021 vydala spoločnosť Microsoft tieto opravy opravy tejto nedostatočného zabezpečenia:
-
KB5004237 pre Windows 10, verzia 2004, všetky vydania, Windows 10, verzia 20H2, všetky vydania a Windows 10, verzia 21H1, všetky vydania
-
KB5004245 pre Windows 10 Enterprise, verzia 1909, Windows 10 Enterprise a Education, verzia 1909 a Windows 10 IoT Enterprise, verzia 1909
-
Článok vedomostnej databázy Knowledge Base 5004244 Windows 10 Enterprise LTSC z Windows 10 IoT Enterprise 2019 LTSC
-
KB5004281 pre Windows 10 verzie 1803 (k dispozícii na požiadanie)
Podrobnosti o riešení
Tieto aktualizácie zabezpečenia implementujú obmedzenia tak, aby bolo možné používať iba dôveryhodné kamery s Windows Hello face authentication.
-
Existujúci Windows Hello používateľom s face authentication – sú to používatelia, ktorí sa zaregistrovali Windows Hello tvárou v overeniu pred použitím tejto aktualizácie. Windows výzva na opätovné overenie pomocou PIN kódu iba raz po inštalácii tejto aktualizácie.
-
Noví Windows Hello používatelia s tvárou v overovaní – sú to používatelia, ktorí uplatňujú túto aktualizáciu pred Windows Hello face authentication. Windows automaticky dôveruje fotoaparátu používanému pre Windows Hello registráciu pomocou tváre.
Voliteľná konfigurácia
Používatelia s vysokou hodnotou zabezpečenia môžu tiež nakonfigurovať nasledujúcu hodnotu databázy Registry a vypnúť všetky externé kamery na použitie s Windows Hello tvárou.
Cesta k reg: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Názov kľúča: "ShouldForbidExternalCameras"
Hodnota = 1
Typ: DWORD
Skúsení používatelia alebo IT profesionáli môžu tiež pridať vyššie uvedenú hodnotu databázy Registry spustením nasledujúceho príkazu z príkazového riadka správcu.
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
Upozorňujeme, že konfiguráciou tejto hodnoty databázy Registry sa zabráni tomu, aby sa všetky externé USB kamery používali Windows Hello tvárou. Používatelia však môžu naďalej používať externú kameru s inými aplikáciami, ako je napríklad Microsoft Teams.
Vylepšené zabezpečenie pri prihlasovaní
Zákazníci s Windows Hello rozšíreným zabezpečením prihlásenia sú chránení proti tejto nedostatočnému posudu. Vylepšené zabezpečenie prihlásenia je nová funkcia zabezpečenia v Windows, ktorá vyžaduje špeciálny hardvér, ovládače a firmvér, ktoré sú v systéme predinštalované výrobcami zariadení. Obráťte sa na výrobcu zariadenia a získajte informácie o podpore rozšíreného zabezpečenia pri prihlasovaní v zariadení.
Ovplyvnený softvér
Toto nedostatočné Windows 10 aj tieto systémy založené na probléme:
-
Windows 10 Verzia 21H1 pre systémy s procesorom typu x64
-
Windows 10 Verzia 21H1 pre 32-bitovú verziu systému
-
Windows 10 Verzia 21H1 pre systémy založené na skupine ARM64
-
Windows 10 Verzia 21H1 pre systémy založené na arm
-
Windows 10 Verzia 20H2 pre systémy s procesorom typu x64
-
Windows 10 Verzia 20H2 pre 32-bitovú verziu systému
-
Windows 10 Verzia 20H2 pre systémy založené na skupine ARM64
-
Windows 10 Verzia 20H2 pre systémy založené na arm
-
Windows 10 Verzia 2004 pre systémy s procesorom typu x64
-
Windows 10 Verzia 2004 pre 32-bitové systémy
-
Windows 10 Verzia 2004 pre systémy založené na skupine ARM64
-
Windows 10 Verzia 2004 pre systémy založené na arm
-
Windows 10 Verzia 1909 pre systémy s procesorom typu x64
-
Windows 10 Verzia 1909 pre 32-bitové systémy
-
Windows 10 Verzia 1909 pre systémy založené na skupine ARM64
-
Windows 10 Verzia 1909 pre systémy založené na arm
-
Windows 10 Verzia 1809 pre systémy s procesorom typu x64
-
Windows 10 Verzia 1809 pre 32-bitové systémy
-
Windows 10 Verzia 1809 pre systémy založené na skupine ARM64
-
Windows 10 Verzia 1809 pre systémy založené na systéme ARM
-
Windows 10 Verzia 1803 pre systémy s procesorom typu x64
-
Windows 10 Verzia 1803 pre 32-bitovú verziu systému
-
Windows 10 Verzia 1803 pre systémy založené na skupine ARM64
-
Windows 10 Verzia 1803 pre systémy založené na systéme ARM
Najčastejšie otázky
Q. Nemám zariadenie, ktoré je kompatibilné s Windows Hello lícne overenie, alebo mám ešte s podporou rozpoznávania tváre Windows Hello. Musím sa obávať tejto nedostatočného zabezpečenia?
A. Nie. Tento problém nedostatočného zabezpečenia sa vzťahuje len na používateľov, ktorí majú zariadenie kompatibilné s Windows Hello tvárou a zaregistrovali sa v overeniu rozpoznávania tváre.
Q. Čo mám urobiť na ochranu používateľov pred touto nedostatočného zabezpečenia?
A. Stiahnite a nainštalujte vyššie uvedené aktualizácie.
Q. Musím nakonfigurovať voliteľné nastavenie databázy Registry, aby sa zabezpečená zariadenia od tejto nedostatočného zabezpečenia?
A. Ak používate iba internú alebo vstavanú Windows Hello, nemusíte pridávať voliteľnú hodnotu databázy Registry. Ak ste však mobilným používateľom, existuje riziko, že vaše zariadenie stratíte alebo odcudzí. Ak teda používate externú kameru, môžete pridať voliteľnú hodnotu databázy Registry a zabrániť tak aplikácii externých Windows Hello tvárových fotoaparátov. Upozorňujeme, že po pridaní hodnoty databázy Registry budú všetky externé USB kamery blokované a nebudú sa používať so zariadením Windows Hello Face. Používatelia môžu naďalej používať externú kameru s inými aplikáciami, ako napríklad Microsoft Teams.
Q. Je možné túto chybu zneužiť na diaľku?
A. Nie. Ak chcete zneužiť túto chybu, útočník musí mať úplný fyzický prístup k zariadeniu, ktoré je obeťou.
Q. Musím túto aktualizáciu nainštalovať, ak zariadenie podporuje rozšírené zabezpečenie prihlásenia?
A. Vylepšené zabezpečenie prihlásenia zmierňuje túto chybu nedostatočného rizika, ale len v prípade, že je funkcia povolená. Aj v prípade, že zariadenie obsahuje potrebné súčasti hardvéru a softvéru, budete stále potrebovať vyššie uvedenú aktualizáciu, ak funkcia nie je zapnutá. Bez ohľadu na to by ste mali túto aktualizáciu nainštalovať, aby ste mali k dispozícii iné opravy zabezpečenia.
Q. Môžem aj naďalej používať Windows Hello rozpoznávanie tváre bez aktualizácie systému?
A. Windows Hello rozpoznávanie tváre bude fungovať aj naďalej, aj keď systém ne aktualizovať. Dôrazne odporúčame aktualizovať svoj systém, a to najmä v prípade, že ste mobilný používateľ.
Q. Môžem vypnúť Windows Hello rozpoznávanie tváre a pokračovať v používaní Windows Hello odtlačku prsta?
A. Áno. Overenie tváre funkcie Window Hello môžete odstrániť v časti Možnosti prihlásenia>Windows Hello Tvár, ak chcete vypnúť Windows Hello tvár a pokračovať v používaní odtlačku prsta vo Windowse Hello.
