Durante la conferenza Black Hat di Las Vegas, due ricercatori tedeschi, Tillmann Osswald e Dr. Baptiste David, hanno messo in luce una falla significativa nel sistema di riconoscimento facciale di Windows Hello for Business. Il problema riguarda in particolare i computer che non supportano la tecnologia Enhanced Sign-in Security (ESS), ancora oggi molto diffusi nelle aziende.
Nel corso della dimostrazione, i due esperti hanno mostrato come un attaccante con privilegi di amministratore locale possa, con una manciata di righe di codice, inserire la propria scansione facciale all’interno del database crittografato dei modelli biometrici. Ne deriva dunque che il PC si sblocca riconoscendo l’intruso come l’utente legittimo. Una falla che, nei contesti aziendali, potrebbe aprire la porta ad accessi non autorizzati e furti di dati sensibili.
La sicurezza avanzata richiede hardware moderno
Il cuore del problema risiede nella mancanza di ESS, un sistema progettato da Microsoft per isolare il processo di autenticazione biometrica all’interno di un ambiente protetto gestito dall’hypervisor. Questo sistema offre una barriera efficace, ma richiede componenti hardware specifici: chip TPM 2.0, avvio protetto (Secure Boot), CPU con supporto alla virtualizzazione e sensori biometrici certificati.
Solo la nuova gamma di PC Copilot+ rispetta questi requisiti di sicurezza in modo nativo. Al contrario, molti computer aziendali anche recenti, pur supportando Windows Hello, non dispongono dell’hardware necessario per l’ESS. In questi casi, secondo i ricercatori, non esiste una patch risolutiva immediata, se non attraverso una completa revisione dell’architettura.
A complicare ulteriormente la situazione, vi è il fatto che numerose periferiche esterne non sono ancora compatibili con l’ESS attivo. Microsoft non prevede un supporto pieno prima della fine del 2025, rendendo difficile un equilibrio tra funzionalità e sicurezza.
In assenza di alternative hardware adeguate, la raccomandazione è chiara: disabilitare l’autenticazione biometrica e utilizzare metodi più tradizionali come il PIN. Una misura drastica, ma necessaria per ridurre il rischio in ambienti sensibili.
