افشای روش هک Windows Hello در ویندوز ۱۱

01

از 02

ضعف معماری ذخیره‌سازی داده‌های بیومتریک

نئووین می‌نویسد که Windows Hello در محیط‌های سازمانی هنگام راه‌اندازی، یک جفت کلید عمومی/خصوصی تولید و کلید عمومی را در سرویس هویت سازمان (مانند Entra ID) ثبت می‌کند. بااین‌حال، داده‌های بیومتریک در پایگاه داده‌ای ذخیره می‌شوند که Windows Biometric Service (WBS) آن را مدیریت و رمزگذاری کرده است. مشکل این است که در برخی پیاده‌سازی‌ها، این رمزگذاری نمی‌تواند جلوِ مهاجمی با دسترسی ادمین محلی را بگیرد و او می‌تواند داده‌ها را رمزگشایی کند.

مایکروسافت برای مقابله با این ضعف، ESS را معرفی کرده است؛ قابلیتی که فرایند احراز هویت بیومتریک را به‌طور کامل در محیطی ایزوله و تحت کنترل هایپروایزر اجرا می‌کند. با‌این‌حال، ESS تنها روی دستگاه‌هایی فعال می‌شود که شرایط خاصی داشته باشند:

• پردازنده ۶۴ بیتی پیشرفته با پشتیبانی از مجازی‌سازی سخت‌افزاری
• تراشه TPM 2.0
• فعال‌بودن Secure Boot در بایوس
• حسگر بیومتریک دارای گواهی خاص

مایکروسافت این سطح امنیتی را برای سری کامپیوترهای کوپایلت‌پلاس الزامی کرده است؛ اما بسیاری از سیستم‌های موجود فاقد این سخت‌افزارها هستند. به‌عنوان نمونه، اوسوالد اشاره کرد که لپ‌تاپ‌های تینک‌پد خریده‌شده در ۱۸ ماه پیش، به‌دلیل استفاده از پردازنده‌های AMD و نبود حسگر امن دوربین، از ESS پشتیبانی نمی‌کنند.

02

از 02

نبود پچ عملی و توصیه امنیتی

به گفته محققان، رفع این ضعف امنیتی بدون بازطراحی اساسی معماری ذخیره‌سازی داده‌های بیومتریک تقریباً غیرممکن است؛ بنابراین، توصیه آن‌ها برای کاربران سیستم‌های تجاری بدون ESS، غیرفعال‌کردن بیومتریک و استفاده از روش‌هایی مانند PIN است.

برای فهمیدن اینکه دستگاه شما از ESS پشتیبانی می‌کند یا خیر، کافی است به مسیر تنظیمات –> گزینه‌های ورود (Sign-in options) بروید. اگر گزینه‌ای با عنوان «ورود با دوربین یا حسگر اثرانگشت خارجی» وجود داشته باشد، روشن‌بودن آن یعنی ESS غیرفعال است و برعکس.

مایکروسافت می‌گوید که برخی لوازم جانبی سازگار با Windows Hello می‌توانند ESS را فعال کنند؛ اما پشتیبانی کامل از این قابلیت برای دستگاه‌های خارجی زودتر از اواخر ۲۰۲۵ منتشر نخواهد شد.