Windows Hello è tornato sotto la lente d’ingrandimento. Ciò dopo che due ricercatori tedeschi di sicurezza, Tillmann Osswald e Dr. Baptiste David, hanno rivelato una grave vulnerabilità. La falla riguarda il sistema di riconoscimento facciale utilizzato da Windows Hello for Business e mette in discussione l’affidabilità della protezione biometrica su molti computer aziendali. Durante una dimostrazione pratica, Osswald e David hanno dimostrato come un utente che abbia già ottenuto i privilegi di amministratore locale su un dispositivo possa inserire la propria immagine facciale all’interno del database biometrico. Il quale dovrebbe essere cifrato e sicuro. Tale sistema consente all’attaccante di sbloccare il computer come se fosse l’utente autorizzato, senza bisogno di altre credenziali.
Scovata una vulnerabilità per Windows Hello
La causa principale di tale problema è l’assenza della tecnologia Enhanced Sign-in Security (ESS). La quale è stata sviluppata da Microsoft per migliorare la protezione dell’autenticazione biometrica. Su sistemi privi di ESS, un amministratore locale ha, infatti, la capacità di decifrare e modificare il database dei dati biometrici. Invece, ESS protegge tale processo eseguendolo in un ambiente isolato e sicuro, gestito dall’hypervisor del sistema operativo. Rendendo praticamente impossibile la manomissione.
Il problema è che ESS richiede un hardware piuttosto avanzato. È caratterizzato da una CPU moderna con supporto alla virtualizzazione, un chip TPM 2.0, Secure Boot attivato e sensori biometrici certificati. Nonostante Microsoft stia includendo tali requisiti nei nuovi PC della linea Copilot+, molte postazioni di lavoro attualmente in uso non rispettano ancora suddette specifiche tecniche.
Inoltre, non è da trascurare la compatibilità con le periferiche esterne. Quest’ultime spesso non supportano ESS, costringendo così gli utenti a scegliere tra funzionalità e sicurezza. Gli esperti sottolineano che correggere tale vulnerabilità tramite un semplice aggiornamento software sarebbe estremamente difficile. Per tale motivo, consigliano di disattivare l’autenticazione biometrica sui dispositivi privi di ESS e di utilizzare metodi alternativi. Come ad esempio l’uso di PIN.
