执行摘要
此安全更新解决了Windows Hello识别绕过漏洞Windows 10攻击者可以重播图像来访问系统。 此绕过要求物理访问,并完全拥有用户的物理设备、自定义硬件和专用的 (IR) 图像。
漏洞信息
2021-07 累积安全更新地址 CVE-2021-34466, 于 2021 年 7 月 13 日发布。
成功的攻击需要满足以下先决条件:
-
用户必须已注册到Windows Hello身份验证。
-
攻击者对牺牲者的设备具有物理访问权限。
-
攻击者拥有牺牲者的红光图像的软范围。
-
攻击者使用模拟合法相机的自定义 USB 相机Windows Hello相机。 攻击者将恶意相机插入牺牲者的设备,并流式传输第三项中提到的图像帧。
缓解&修复
2021 年 7 月 13 日,Microsoft 发布了以下修补程序来修补此漏洞:
-
KB5004237 for Windows 10,版本 2004,所有版本、Windows 10、版本 20H2、所有版本和 Windows 10,版本 21H1,所有版本
-
KB5004245 Windows 10 企业版、版本 1909、Windows 10 企业版 和教育版、版本 1909 和 Windows 10 IoT 企业版,版本 1909
-
KB5004244 for Windows 10 企业版 2019 LTSC 和 Windows 10 IoT 企业版 2019 LTSC
-
KB5004281 Windows 10版本 1803 (请求时)
解决方法详细信息
这些安全更新实施限制,以便只允许受信任的相机用于Windows Hello身份验证。
-
现有Windows Hello人脸身份验证用户 – 这些用户在应用此更新Windows Hello注册了人脸身份验证。 Windows安装此更新后,系统只会提示他们使用 PIN 重新进行身份验证一次。
-
新的Windows Hello人脸身份验证用户 – 这些用户在注册人脸身份验证之前Windows Hello此更新。 Windows自动信任用于人脸身份验证注册Windows Hello相机。
可选配置
具有高度安全意识的用户还可以配置以下注册表值,以禁用所有外部摄像头,以便与 Windows Hello 人脸一起使用。
Reg Path: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
密钥名称:"ShouldForbidExternalCameras"
值 = 1
类型:DWORD
经验丰富的用户或 IT 专业人员也可通过从管理员命令提示符运行以下命令来添加上述注册表值。
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
请注意,配置此注册表值将阻止所有外部 USB 摄像头与人脸Windows Hello一起使用。 但是,用户可以继续将外部相机与其他应用程序(如 Microsoft Teams) 一Microsoft Teams。
增强的登录安全性
具有Windows Hello增强登录安全性的客户受到保护,免受此漏洞的影响。 增强的登录安全性是 Windows 中新的安全功能,需要设备制造商在系统上预安装的专用硬件、驱动程序和固件。 请联系设备制造商,了解对设备上增强登录安全性的支持。
受影响的软件
以下Windows 10受此漏洞影响:
-
Windows 10版本 21H1,适合基于 x64 的系统
-
Windows 1032 位系统版本 21H1
-
Windows 10适用于基于 ARM64 的系统的版本 21H1
-
Windows 10版本 21H1,ARM基于的系统
-
Windows 10版本 20H2,适合基于 x64 的系统
-
Windows 10适用于 32 位系统的版本 20H2
-
Windows 10适用于基于 ARM64 的系统的版本 20H2
-
Windows 10适用于基于 ARM 系统的版本 20H2
-
Windows 10版本 2004,适合基于 x64 的系统
-
Windows 10适用于 32 位系统的版本 2004
-
Windows 10基于 ARM64 的系统的版本 2004
-
Windows 10基于 ARM 系统的版本 2004
-
Windows 10版本 1909,适合基于 x64 的系统
-
Windows 10版本 1909,适用于 32 位系统
-
Windows 10版本 1909,适用于基于 ARM64 的系统
-
Windows 10适用于基于 ARM 系统的版本 1909
-
Windows 10版本 1809,适合基于 x64 的系统
-
Windows 1032 位系统版本 1809
-
Windows 10版本 1809,适合基于 ARM64 的系统
-
Windows 10适用于基于 ARM 系统的版本 1809
-
Windows 10版本 1803,适合基于 x64 的系统
-
Windows 10适用于 32 位系统的版本 1803
-
Windows 10版本 1803,适合基于 ARM64 的系统
-
Windows 10版本 1803,ARM基于的系统
常见问题
Q. 我没有与人脸身份验证兼容的设备Windows Hello,或者我尚未使用面部识别功能启用面部Windows Hello。 我是否担心此漏洞?
A. 不需要。 此漏洞仅适用于具有与人脸Windows Hello并且已注册面部识别身份验证的设备的用户。
Q. 应该如何保护用户免受此漏洞的影响?
A. 下载并安装上述更新。
Q. 是否需要配置可选注册表设置,保护设备的安全,使设备不受到此漏洞的影响?
A. 如果仅使用内部或内置Windows Hello相机,则无需添加可选的注册表值。 但是,如果你是移动用户,你的设备可能面临丢失或被盗的风险。 因此,如果使用外部相机,可以添加可选的注册表值Windows Hello相机使用外部相机。 请注意,添加注册表值后,将阻止所有Windows Hello USB 相机与人脸一起使用。 用户可以继续将外部相机与其他应用程序(如 Microsoft Teams) 一Microsoft Teams。
Q. 能否远程利用此漏洞?
A. 不需要。 为了利用此漏洞,攻击者必须对牺牲者的设备拥有完全的物理访问权限。
问。 如果我的设备支持增强的登录安全性,是否仍然需要安装此更新?
A. 增强的登录安全性可缓解此漏洞,但仅在启用该功能时才能缓解。 即使设备具有所需的硬件和软件组件,如果该功能未打开,你仍然需要上述更新。 无论如何,仍应安装此更新才能获取其他安全修补程序。
Q. 能否继续使用面部识别Windows Hello而不更新系统?
A. Windows Hello面部识别将继续工作,即使你不更新系统。 我们强烈建议你更新系统,尤其是当你是移动用户时。
问。 我能否禁用Windows Hello识别并继续使用指纹Windows Hello指纹?
A. 是的。 可以在登录选项中删除 Window Hello人脸身份验证,>Windows Hello人脸"以关闭Windows Hello并继续使用 Window Hello 指纹。
