Mit <kes>+ lesen

Mit Fingerabdrucksensoren an Windows Hello vorbei

Eine neue Untersuchung hat mehrere Schwachstellen in häufig eingesetzten Fingerabdrucksensoren aufgedeckt. Sie können ausgenutzt werden, um die Windows Hello-Authentifizierung auf den Laptops Dell Inspiron 15, Lenovo ThinkPad T14 und Microsoft Surface Pro X zu umgehen.

Forscher von Blackwing Intelligence haben Schwachstellen in Fingerabdrucksensoren von Goodix, Synaptics und ELAN gefunden, die in verschiedenen Geräten verwendet werden. Die Angriffe auf diese Sensoren sind nur möglich, wenn die Nutzer bereits die Fingerabdruck-Authentifizierung auf ihren Laptops eingerichtet haben.

Diese Sensoren, bekannt als „Match on Chip“ (MoC), führen den Fingerabdruckabgleich direkt im Sensorchip durch, ohne die gespeicherten Daten an den Hauptprozessor zu senden. Doch obwohl MoC so die Übertragung von Fingerabdruckdaten verhindert, können böswillige Sensoren die Kommunikation zwischen einem legitimen Sensor und dem Hauptgerät manipulieren. Sie können fälschlicherweise behaupten, dass ein autorisierter Benutzer erfolgreich authentifiziert wurde. Das kann MoC ebenso wenig verhindern, wie die Wiederholung des zuvor aufgezeichneten Datenverkehrs zwischen dem Host und dem Sensor. Zu diesem Ergebnis kamen die Forscher Jesse D’Aguanno und Timo Teräs.

Das Secure Device Connection Protocol (SDCP) von Microsoft soll eigentlich einige dieser Probleme lösen, indem es einen sicheren Ende-zu-Ende-Kanal schafft. Aber die Forscher haben eine neue Methode gefunden, mit der diese Schutzmaßnahmen umgangen und AitM-Angriffe (Adversary-in-the-Middle) durchgeführt werden können.

Speziell der ELAN-Fingerabdrucksensor hat Schwächen, die aus zwei Hauptproblemen resultieren. Erstens unterstützt dieser Sensor das Secure Device Connection Protocol (SDCP) nicht. Zweitens werden Sicherheitsidentifikatoren (SIDs) unverschlüsselt übertragen. Diese beiden Schwachstellen zusammen ermöglichen es im Grunde genommen jedem angeschlossenen USB-Gerät, sich als der Fingerabdrucksensor auszugeben. So kann das USB-Gerät vortäuschen, dass ein autorisierter Benutzer sich einloggt.

Bei Synaptics gab es ebenfalls mehrere Probleme. Zum einen war das Secure Device Connection Protocol standardmäßig ausgeschaltet, was an sich schon eine Schwachstelle ist. Zusätzlich verließ sich die Implementierung auf einen fehlerhaften benutzerdefinierten Transport Layer Security (TLS)-Stack, der die USB-Kommunikation zwischen dem Haupt-Treiber und dem Sensor absichern sollte. Dieser fehlerhafte Stack könnte als Werkzeug verwendet werden, um die biometrische Authentifizierung zu umgehen.

Bei der Ausnutzung des Goodix-Sensors hingegen wird ein grundlegender Unterschied bei den Anmeldevorgängen auf einem Rechner ausgenutzt, auf dem sowohl Windows als auch Linux installiert ist. Dabei wird die Tatsache ausgenutzt, dass letzteres kein SDCP unterstützt, um folgende Aktionen durchzuführen:

  • Booten nach Linux
  • Aufzählung der gültigen IDs
  • Registrierung des Fingerabdrucks eines Angreifers mit der gleichen ID wie bei einem legitimen Windows-Benutzer
  • Man-in-the-Middle-(MitM)-Attacken auf die Verbindung zwischen dem Host und dem Sensor durch Ausnutzung der USB-Klartextkommunikation
  • Nach Windows booten
  • Abfangen und Umschreiben des Konfigurationspakets, damit es auf die Linux-DB verweist, unter Verwendung des eben genannten MitM-Angriffs
  • Anmeldung als legitimer Benutzer mit dem Druck des Angreifers

Der Goodix-Fingerabdrucksensor besitzt getrennte Datenbanken für Fingerabdruckvorlagen, die für Windows- und Nicht-Windows-Systeme gedacht sind. Das ist eigentlich gut. Jedoch ist ein Angriff dennoch möglich, da der Host-Treiber ein nicht authentifiziertes Konfigurationspaket an den Sensor sendet, um festzulegen, welche Datenbank während der Initialisierung des Sensors genutzt werden soll. Dies eröffnet eine potenzielle Angriffsmöglichkeit, obwohl die Datenbanken eigentlich separat sind.

Um solche Angriffe auszuschließen wird empfohlen, dass Erstausrüster (OEMs) SDCP aktivieren und sicherstellen, dass die Implementierung des Fingerabdrucksensors von unabhängigen qualifizierten Experten geprüft wird.

Es ist nicht das erste Mal, dass die biometrische Authentifizierung von Windows Hello erfolgreich umgangen wurde. Im Juli 2021 veröffentlichte Microsoft Patches für eine mittelschwere Sicherheitslücke (CVE-2021-34466, CVSS-Score: 6.1), die es einem Angreifer ermöglichen könnte, das Gesicht einer Zielperson zu fälschen und den Anmeldebildschirm zu umgehen.

„Microsoft hat bei der Entwicklung von SDCP gute Arbeit geleistet, um einen sicheren Kanal zwischen dem Host und biometrischen Geräten zu schaffen. Allerdings scheinen die Hersteller der Geräte einige wichtige Aspekte nicht richtig verstanden zu haben“, so die Forscher. „Außerdem deckt SDCP nur einen sehr begrenzten Bereich der normalen Funktionalität eines Geräts ab. Die meisten Geräte haben andere Schwachstellen, die von SDCP nicht adressiert werden. Es gibt also viele potenzielle Angriffspunkte, die außerhalb des Schutzbereichs von SDCP liegen.“

Diesen Beitrag teilen: