摘要
此安全性更新可解決Windows Hello的臉部識別忽略Windows 10,讓攻擊者可以重播影像以存取系統。 此旁路需要具備使用者實體裝置、自訂硬體,以及專用 (IR) 存取。
弱點資訊
2021-07 累積安全性更新位址 為 CVE-2021-34466, 于 2021 年 7 月 13 日發行。
成功利用需要下列先決條件:
-
使用者必須已經註冊Windows Hello驗證。
-
攻擊者可以實際存取受攻擊者的裝置。
-
攻擊者擁有受害者之紅外線影像的柔和性。
-
攻擊者會製作一個自訂 USB 相機裝置,其Windows Hello臉部相機。 攻擊者將惡意相機插入攻擊者的裝置,並資料流程處理專案 3 中提及的影像框架。
緩解&修正
Microsoft 于 2021 年 7 月 13 日發行下列修正程式以修補此漏洞:
-
適用于 Windows 10 的KB5004237、版本 2004、所有版本、Windows 10、版本 20H2、所有版本,以及 Windows 10、版本 21H1、所有版本
-
適用于 Windows 10 企業版、版本 1909、Windows 10 企業版與教育版、版本 1909 和 Windows 10 IoT 企業版 版本 1909 的KB5004245
-
適用于 2019 LTSC Windows 10 企業版 2019 LTSC 和 2019 年 Windows 10 IoT 企業版KB5004244
-
適用于 1803 Windows 10 KB5004281 (可)
解析度詳細資料
這些安全性更新會實施限制,因此只允許信任的相機與Windows Hello一起使用。
-
現有Windows Hello臉部驗證使用者 - 這些使用者是註冊Windows Hello臉部驗證的使用者,然後才適用此更新。 Windows安裝此更新後,系統只會提示他們以 PIN 重新驗證一次。
-
新增Windows Hello臉部驗證使用者 - 這些使用者在註冊臉部驗證之前,會先Windows Hello此更新。 Windows會自動信任用於Windows Hello驗證註冊的相機。
選擇性組組
高度注意安全性的使用者也可以設定下列登錄值,以停用所有外接式攝影機,Windows Hello臉部。
Reg 路徑:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon]
金鑰名稱:「ShouldForbidExternalCameras"
Value = 1
類型:DWORD
經驗豐富的使用者或 IT 專業人員也可以從系統管理員命令提示符執行下列命令,以新增上述登錄值。
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon" /v ShouldForbidExternalCameras /t REG_DWORD /d 1 /f
請注意,此註冊表值會防止所有外部 USB 相機與臉部Windows Hello使用。 不過,使用者可以繼續使用外部相機與其他應用程式 ,例如Microsoft Teams。
增強的登錄安全性
擁有增強Windows Hello安全性的客戶會受到保護,防範此弱點。 增強型登錄安全性是裝置製造商Windows安裝于系統上的專用硬體、驅動程式和固件的新功能。 請與您的裝置製造商聯繫,以瞭解您裝置上增強型登錄安全性的支援。
受影響的軟體
下列Windows 10型系統會受到此弱點影響:
-
Windows 10x64 型系統的版本 21H1
-
Windows 10適用于 32 位系統的版本 21H1
-
Windows 10ARM64 型系統的版本 21H1
-
Windows 10ARM 型系統的版本 21H1
-
Windows 10x64 型系統的版本 20H2
-
Windows 10適用于 32 位系統的版本 20H2
-
Windows 10ARM64 型系統的版本 20H2
-
Windows 10ARM 型系統的版本 20H2
-
Windows 10x64 型系統的版本 2004
-
Windows 10適用于 32 位系統的版本 2004
-
Windows 10ARM64 型系統的版本 2004
-
Windows 10ARM 型系統的版本 2004
-
Windows 10x64 型系統的版本 1909
-
Windows 10適用于 32 位系統的版本 1909
-
Windows 10ARM64 型系統的版本 1909
-
Windows 10ARM 型系統的版本 1909
-
Windows 10x64 型系統的版本 1809
-
Windows 10適用于 32 位系統的版本 1809
-
Windows 10ARM64 型系統的版本 1809
-
Windows 10ARM 型系統的版本 1809
-
Windows 10x64 型系統的版本 1803
-
Windows 10適用于 32 位系統的版本 1803
-
Windows 10ARM64 型系統的版本 1803
-
Windows 10ARM 型系統的版本 1803
常見問題集
問。 我沒有與臉部驗證相容的裝置,Windows Hello或尚未啟用臉部Windows Hello。 我是否必須擔心這個弱點?
A. 不必。 此弱點僅適用于擁有與臉部Windows Hello且已註冊臉部識別驗證的裝置的使用者。
問。 我該怎麼辦來保護我的使用者不受此弱點影響?
A. 下載並安裝上述更新。
問。 我是否需要設定選擇性的註冊表設定,以保護我的裝置不遭受此弱點?
A. 如果您只在臉部Windows Hello內建或內建相機,則不需要新增選擇性的註冊表值。 不過,如果您是行動裝置使用者,您的裝置可能會遺失或遭竊。 因此,您可以新增選擇性的註冊表值,以防止使用外接式Windows Hello相機使用外接式相機。 請注意,在您新增註冊表值之後,所有外部 USB 相機Windows Hello無法與 Windows Hello一起使用。 使用者可以繼續使用外部相機與其他應用程式 ,例如Microsoft Teams。
問。 這個弱點可以遠端利用嗎?
A. 不必。 若要利用此弱點,攻擊者必須擁有對受害者裝置的完整實體存取權。
Q. 如果我的裝置支援增強的登錄安全性,我是否仍然需要安裝此更新?
A. 增強的登錄安全性可減輕此弱點,但只有在已啟用此功能時才能使用。 即使裝置具有必要的硬體和軟體元件,如果功能尚未開啟,您仍然需要上述更新。 不過,您還是應該安裝此更新,以取得其他安全性修正程式。
問。 我可以繼續使用臉部Windows Hello而不更新我的系統嗎?
A. Windows Hello,即使您未更新系統,臉部識別仍然能夠繼續工作。 我們強烈建議您更新系統,尤其是如果您是行動使用者。
Q. 我可以停用臉部Windows Hello,並繼續使用指紋Windows Hello嗎?
A. 是的。 您可以在>Windows Hello選項中移除Windows Hello 臉部驗證,以關閉Windows Hello並繼續使用 Windows Hello 指紋。
