Izvršni rezime
Ova bezbednosna ispravka rešava Windows Hello zaobilazi ranjivost prepoznavanja lica u programu Windows 10 koja omogućava napaderu da ponovo reprodukciji sliku kako bi pristupio sistemu. To zaobilazi fizički pristup uz potpuni pregled fizičkog uređaja korisnika, prilagođenog hardvera i specijalizovane infracrvene (IR) slike.
Informacije o ranjivosti
Kumulativna bezbednosna ispravka 2021–07 ima adrese CVE-2021-34466 i objavljena je 13. jula 2021.
Uspešno iskorišćanje zahteva sledeće preduslove:
-
Korisnik mora već biti upisan za potvrdu identiteta Windows Hello lice.
-
Napadač ima fizički pristup uređaju žrtva.
-
Napadač ima umekšane slike žrtva.
-
Napadač iznajmlja prilagođeni uređaj USB kamere koji imitira legitimnu Windows Hello kameru za lice. Napadač priključava zlonamernu kameru na uređaj žrtva i strimujete okvire slika pomenute u tri stavke.
Popravlja & migracija
13. jula 2021. Microsoft je objavio sledeće ispravke za zakrpanje ove ranjivosti:
-
KB5004237 za Windows 10, verzija 2004, sva izdanja, Windows 10, verzija 20H2, sva izdanja i Windows 10, verzija 21H1, sva izdanja
-
KB5004245 za Windows 10 Enterprise, verzije 1909, Windows 10 Enterprise i Education, verzije 1909 i Windows 10 IoT Enterprise verzije 1909
-
KB5004244 za Windows 10 Enterprise 2019 LTSC i Windows 10 IoT Enterprise 2019 LTSC
-
KB5004281 za Windows 10 verziji 1803 (dostupno na zahtev)
Detalji o rešenju
Ove bezbednosne ispravke primenjuju ograničenja tako da samo pouzdane kamere mogu da se koriste sa Windows Hello licem potvrde identiteta.
-
Postojeći korisnici Windows Hello potvrde identiteta lica – To su korisnici koji su se upisali za potvrdu identiteta Windows Hello lice pre primene ove ispravke. Windows će tražiti od njih da ponovo potvrde identitet svojim PIN kodom samo jednom posle instaliranja ove ispravke.
-
Novi Windows Hello za potvrdu identiteta lica – To su korisnici koji primenjuju ovu ispravku pre upisvanja u Windows Hello potvrdu identiteta licem. Windows će automatski imati poverenja u kameru koja se koristi Windows Hello za unošenje potvrde identiteta lica.
Opcionalna konfiguracija
Korisnici svesni visoke bezbednosti mogu konfigurisati i sledeću vrednost registratora kako bi onemogućili sve spoljne kamere koje se koriste sa Windows Hello licem.
Putanja reg datoteke: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
Ime ključa: "ShouldForbidExternalCameras"
Vrednost = 1
Tip: DWORD
Iskusni korisnici ili IT stručnjaci takođe mogu da dodaju gorenavedenu vrednost registratora tako što će pokrenuti sledeću komandu sa komandne linije administratora.
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
Imajte naviku da će konfigurisanje ove vrednosti registratora sprečiti da se sve spoljne USB kamere koriste sa Windows Hello lica. Međutim, korisnici mogu da nastave da koriste spoljnu kameru sa drugim aplikacijama kao što su Microsoft Teams.
Poboljšana bezbednost za prijavljivanje
Klijenti koji imaju Windows Hello poboljšanu bezbednost prijavljivanje zaštićeni su od ove ranjivosti. Poboljšana bezbednost za prijavljivanje je nova bezbednosna funkcija u programu Windows koja zahteva specijalizovani hardver, upravljačke programe i firmver koji su proizvođači uređaja unapred instalirali u sistemu. Obratite se proizvođaču uređaja da biste saznali više o podršci za Poboljšanu bezbednost za prijavljivanje na uređaju.
Softver na koji to utiče
Ova ranjivost utiče na sledeće Windows 10 zasnovane na sistemima:
-
Windows 10 Verzija 21H1 za sisteme zasnovane na x64
-
Windows 10 Verzija 21H1 za 32-bitne sisteme
-
Windows 10 Verzija 21H1 za sisteme zasnovane na ARM64
-
Windows 10 Verzija 21H1 za sisteme zasnovane na ARM-u
-
Windows 10 Verzija 20H2 za sisteme zasnovane na x64
-
Windows 10 Verzija 20H2 za 32-bitne sisteme
-
Windows 10 Verzija 20H2 za sisteme zasnovane na ARM64
-
Windows 10 Verzija 20H2 za sisteme zasnovane na ARM-u
-
Windows 10 Verzija 2004 za sisteme zasnovane na x64
-
Windows 10 Verzija 2004 za 32-bitne sisteme
-
Windows 10 Verzija 2004 za sisteme zasnovane na ARM64
-
Windows 10 Verzija 2004 za sisteme zasnovane na ARM-u
-
Windows 10 Verzija 1909 za sisteme zasnovane na x64
-
Windows 10 Verzija 1909 za 32-bitne sisteme
-
Windows 10 Verzija 1909 za sisteme zasnovane na ARM64
-
Windows 10 Verzija 1909 za sisteme zasnovane na ARM-u
-
Windows 10 Verzija 1809 za sisteme zasnovane na x64
-
Windows 10 Verzija 1809 za 32-bitne sisteme
-
Windows 10 Verzija 1809 za sisteme zasnovane na ARM64
-
Windows 10 Verzija 1809 za sisteme zasnovane na ARM-u
-
Windows 10 Verzija 1803 za sisteme zasnovane na x64
-
Windows 10 Verzija 1803 za 32-bitne sisteme
-
Windows 10 Verzija 1803 za sisteme zasnovane na ARM64
-
Windows 10 Verzija 1803 za sisteme zasnovane na ARM-u
Najčešća pitanja
Q. Nemam uređaj koji je kompatibilan sa potvrdom identiteta Windows Hello licem ili nisam omogućio prepoznavanje lica pomoću Windows Hello. Moram li da brinem o ovoj ranjivosti?
A. Ne. Ova ranjivost može da se primeni samo na korisnike koji imaju uređaj koji je kompatibilan sa uređajem Windows Hello lice i koji su se upisali za potvrdu identiteta za prepoznavanje lica.
Q. Šta treba da uradim da bih zaštitio svoje korisnike od ove ranjivosti?
A. Preuzmite i instalirajte gorenavedene ispravke.
Q. Da li treba da konfigurišem opcionalnu postavku registratora da bih obezbedio moje uređaje od ove ranjivosti?
A. Ako koristite samo internu ili ugrađenu kameru Windows Hello lice, ne morate da dodate opcionalnu vrednost registratora. Međutim, ako ste mobilni korisnik, moguće je da će uređaj biti izgubljen ili ukraden. Stoga možete da dodate opcionalnu vrednost registratora da biste sprečili korišćenje spoljnih Windows Hello kamera lica ako koristite spoljnu kameru. Imajte naviku da će se nakon dodavanja vrednosti registratora blokirati upotreba svih spoljnih USB kamera sa programom Windows Hello Lice. Korisnici mogu da nastave da koriste spoljnu kameru sa drugim aplikacijama kao što Microsoft Teams.
Q. Da li ova ranjivost može da se iskoristi daljinski?
A. Ne. Da bi iskoristio tu ranjivost, napadač mora da ima potpuni fizički pristup uređaju žrtva.
Q. Da li i dalje treba da instaliram ovu ispravku ako moj uređaj podržava poboljšanu bezbednost za prijavljivanje?
A. Poboljšana bezbednost prijavljivanje ublažuje ovu ranjivost, ali samo ako je funkcija omogućena. Čak i ako uređaj ima neophodne komponente hardvera i softvera, i dalje vam je potrebna gorenavedena ispravka ako funkcija nije uključena. Bez obzira na to, i dalje bi trebalo da instalirate ovu ispravku da biste nabavili druge bezbednosne ispravke.
Q. Mogu li da nastavim da koristim Windows Hello prepoznavanje lica bez ažuriranja sistema?
A. Windows Hello prepoznavanje lica će nastaviti da funkcioniše čak i ako ne ažurirate sistem. Posebno se savetujemo da ažurirate sistem, naročito ako ste korisnik mobilnog telefona.
Q. Mogu li da onemogućim Windows Hello prepoznavanje lica i nastavim da koristim otisak Windows Hello prsta?
A. Da. Možete da uklonite Window Hello potvrdu identiteta licem u opcijama za prijavljivanje>Windows Hello da biste isključili Windows Hello lice i nastavili da koristite Window Hello otisak prsta.
