Povzetek izvršnega direktorja
Ta varnostna posodobitev odpravi ranljivost obhoda Windows Hello prepoznavanje obraza v sistemu Windows 10, ki napadalecu omogoča, da znova predvaja sliko, da dobi dostop do sistema. Ta obhod zahteva fizičen dostop, vključno s popolnim preverjanjem fizične naprave uporabnika, strojne opreme po meri in posebne infrardeče slike (IR).
Informacije o ranljivosti
Zbirni naslov varnostnih posodobitev za obdobje 2021-07 CVE-2021-34466 in je bil izdan 13. julija 2021.
Za uspešno izkoriščevalno uporabo morajo biti izpolnjeni ti pogoji:
-
Uporabnik mora biti že včlanljen v preverjanje Windows Hello pristnosti s obrazom.
-
Napadalec ima fizični dostop do naprave osebe, ki je žrtev.
-
Napadalec ima mehke obsega infrardečih slik žrtev.
-
Napadalec izdelan napravo s kamero USB po meri, ki posnema legitimno kamero Windows Hello Obraz. Napadalec priključite zlonamerno kamero na napravo osebe, ki je žrtev, in pretaka okvirje slike, omenjene v tretji točki.
Popravki & za ublažitev posledic
13. julija 2021 je Microsoft izdal te popravke za odpravljanje te ranljivosti:
-
KB5004237 za Windows 10, različico 2004, vse izdaje, Windows 10, različico 20H2, vse izdaje in Windows 10, različico 21H1, vse izdaje
-
KB5004245 za Windows 10 Enterprise, različica 1909, Windows 10 Enterprise in Education, različica 1909 in Windows 10 IoT Enterprise, različica 1909
-
KB5004244 za Windows 10 Enterprise 2019 LTSC in Windows 10 IoT Enterprise 2019 LTSC
-
KB5004281 za Windows 10 različico 1803 (na voljo na zahtevo)
Podrobnosti ločljivosti
Te varnostne posodobitve uvajajo omejitve, tako da je mogoče za preverjanje pristnosti dovoljenih le zaupanja Windows Hello pristnosti.
-
Obstoječi Windows Hello preverjanja pristnosti s preverjanjem pristnosti – to so uporabniki, ki so se pred uporabo Windows Hello včlanjeni v preverjanje pristnosti s preverjanjem pristnosti. Windows po namestitvi te posodobitve jih bo sistem pozval, da znova preverijo pristnost s kodo PIN.
-
Novi Windows Hello preverjanja pristnosti s obrazom – to so uporabniki, ki uporabljajo to posodobitev, preden se včlanijo v storitev Windows Hello preverjanja pristnosti s preverjanjem pristnosti. Windows bo samodejno zaupal kameri, uporabljeni za včlanitev preverjanja Windows Hello pristnosti s preverjanjem pristnosti.
Izbirna konfiguracija
Uporabniki z visoko varnostjo lahko konfigurirajo to vrednost registra, da onemogočijo vse zunanje kamere tako, da jih lahko uporabljajo Windows Hello Face.
Pot reg: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Ime ključa: "ShouldForbidExternalCameras"Vrednost = 1
Vrsta: DWORD
Izkušeni uporabniki ali strokovnjaki za IT lahko dodajo zgornjo vrednost registra tako, da v skrbniškem ukaznem pozivu zaganjajo ta ukaz.
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
Upoštevajte, da s konfiguracijo te vrednosti registra preprečite uporabo vseh zunanjih kamer USB z Windows Hello Face. Vendar pa lahko uporabniki še naprej uporabljajo zunanjo kamero z drugimi programi, kot so Microsoft Teams.
Izboljšana varnost vpisa
Stranke z Windows Hello izboljšano varnostjo vpisa so zaščitene pred to ranljivostjo. Izboljšana varnost vpisa je nova varnostna funkcija v sistemu Windows, ki zahteva posebno strojno opremo, gonilnike in vdelano programsko opremo, ki jih v sistem vnaprej namestijo izdelovalci naprav. Če želite izvedeti več o podpori za izboljšano varnost pri vpisu v napravo, se obrnite na proizvajalca naprave.
Prizadeta programska oprema
Ta ranljivost Windows 10 sistema, ki temeljijo na teh sistemih:
-
Windows 10 Različica 21H1 za x64
-
Windows 10 Različica 21H1 za 32-bitne sisteme
-
Windows 10 Različica 21H1 za ARM64
-
Windows 10 Različica 21H1 za ARM
-
Windows 10 Različica 20H2 za x64
-
Windows 10 Različica 20H2 za 32-bitne sisteme
-
Windows 10 Različica 20H2 za ARM64
-
Windows 10 Različica 20H2 za ARM
-
Windows 10 Različica 2004 za x64
-
Windows 10 Različica 2004 za 32-bitne sisteme
-
Windows 10 Različica 2004 za ARM64
-
Windows 10 Različica 2004 za ARM
-
Windows 10 Različica 1909 za x64
-
Windows 10 Različica 1909 za 32-bitne sisteme
-
Windows 10 Različica 1909 za ARM64
-
Windows 10 Različica 1909 za ARM
-
Windows 10 Različica 1809 za x64
-
Windows 10 Različica 1809 za 32-bitne sisteme
-
Windows 10 Različica 1809 za ARM64
-
Windows 10 Različica 1809 za ARM
-
Windows 10 Različica 1803 za x64
-
Windows 10 Različica 1803 za 32-bitne sisteme
-
Windows 10 Različica 1803 za ARM64
-
Windows 10 Različica 1803 za ARM
Pogosta vprašanja
Q. Nimam naprave, ki je združljiva s preverjanjem pristnosti Windows Hello obraza ali pa nisem omogočil prepoznavanje obraza v Windows Hello. Ali moram skrbeti glede te ranljivosti?
A. Ne. Ta ranljivost velja le za uporabnike, ki imajo napravo, ki je združljiva z napravo Windows Hello Face in so se včlanjeni v preverjanje pristnosti obraza.
Q. Kaj naj naredim, da uporabnike zaščitim pred to ranljivostjo?
A. Prenesite in namestite zgornje posodobitve.
Q. Ali moram konfigurirati izbirno nastavitev registra, da zaščitim naprave pred to ranljivostjo?
A. Če uporabljate le notranjo ali vgrajeno kamero Windows Hello Face, vam ni treba dodati izbirne vrednosti registra. Če pa ste uporabnik prenosnih naprav, lahko izgubite ali vam jo ukradejo. Zato lahko izbirno vrednost registra dodate, da preprečite uporabo zunanjih kamer Windows Hello obraza, če uporabljate zunanjo kamero. Upoštevajte, da bodo po dodajanju vrednosti registra vse zunanje kamere USB blokirane in jih ne bo mogoče uporabljati s Windows Hello Face. Uporabniki lahko še naprej uporabljajo zunanjo kamero z drugimi programi, kot je Microsoft Teams.
Q. Ali je to ranljivost mogoče izkoriščati na daljavo?
A. Ne. Če želite izkoristiti to ranljivost, mora imeti napadalec poln fizični dostop do naprave osebe, ki je žrtev.
V. Ali moram še vedno namestiti to posodobitev, če moja naprava podpira izboljšano varnost vpisa?
A. Izboljšana varnost vpisa zmanjša to ranljivost, vendar le, če je funkcija omogočena. Tudi če ima naprava potrebno strojno in programsko opremo, morate kljub temu posodobiti zgoraj navedeno, če funkcija ni vklopljena. Ne glede na to, morate še vedno namestiti to posodobitev, da pridobite druge varnostne popravke.
Q. Ali lahko še naprej uporabljam Windows Hello prepoznavanje obraza, ne da bi posodobil svoj sistem?
A. Windows Hello prepoznavanje obraza bo še naprej delovalo, tudi če sistema ne posodobite. Priporočamo, da posodobite svoj sistem, zlasti če ste mobilni uporabnik.
V. Ali lahko onemogočim prepoznavanje Windows Hello obraza in še naprej uporabljam Windows Hello prstni odtis?
A. Da. Windows Hello preverjanje pristnosti obraza lahko odstranite v možnostih vpisa>Windows Hello Face, da izklopite Windows Hello obraz in še naprej uporabljate funkcijo Windows Hello fingerprint.