Theo Microsoft, số lượng khách hàng sử dụng Windows 10 sử dụng Windows Hello để đăng nhập vào thiết bị của họ thay vì mật khẩu đã tăng từ 69,4% lên 84,7% trong năm 2019.
Theo phát hiện của các nhà nghiên cứu bảo mật của CyberArk Labs, những kẻ tấn công có thể tạo thiết bị USB tùy chỉnh mà Windows Hello sẽ hoạt động để phá vỡ hoàn toàn cơ chế nhận dạng khuôn mặt của Windows Hello bằng cách sử dụng một khung IR (hồng ngoại) hợp lệ của mục tiêu.
Tsarfati đã báo cáo lỗ hổng Windows Hello được theo dõi là CVE-2021-34466 và đánh giá là Important (mức độ nghiêm trọng) quan trọng đối với Microsoft vào tháng 3. Dựa trên đánh giá của Microsoft về lỗ hổng bảo mật, các đối thủ không được xác thực yêu cầu quyền truy cập vật lý vào thiết bị của mục tiêu để khai thác nó trong các cuộc tấn công có độ phức tạp cao.
Microsoft đã phát hành bản cập nhật bảo mật Windows 10 để giải quyết lỗ hổng bảo mật có tên CVE-2021-34466 Windows Hello Security Feature Bypass Vulnerability như một phần của bản vá thứ ba tháng 7.2021. Theo công ty, khách hàng của Windows Hello có phần cứng cảm biến sinh trắc học và trình điều khiển có hỗ trợ Enhanced Sign-in Security sẽ không bị ảnh hưởng bởi các cuộc tấn công lạm dụng lỗ hổng bảo mật này.
Các nhà nghiên cứu của CyberArk sẽ trình bày những phát hiện của họ tại Black Hat 2021 vào ngày 4 và 5.8 sắp tới.
Bình luận (0)