Сегодня 26 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Уязвимость в Windows Hello позволяет хакерам обходить биометрическую защиту на бизнес-ПК

В системе проверки подлинности Windows Hello для бизнеса (Windows Hello for Business, WHfB) была выявлена уязвимость, позволяющая злоумышленникам обходить биометрическую защиту компьютеров и ноутбуков. WHfB оказалась подвержена атакам при помощи метода понижения уровня защиты, несмотря на использование криптографических ключей, сообщает портал Dark Reading.

 Источник изображения: Microsoft

Источник изображения: Microsoft

WHfB — это функция, доступная в коммерческих и корпоративных версиях Windows 10 с 2016 года. Она использует криптографические ключи, хранящиеся в Trusted Platform Module (TPM) компьютера, и активируется с помощью биометрической или PIN-аутентификации. Предполагалось, что функция обеспечит более высокий уровень безопасности по сравнению с паролями или одноразовыми паролями (OTP), отправляемыми по SMS.

Уязвимость позволяет хакерам понижать уровень защиты аутентификации, открывая доступ к учётным записям пользователей. Злоумышленник может перехватывать и изменять POST-запросы к сервису аутентификации Microsoft, понижая уровень безопасности WHfB до менее безопасных уровней проверки, таких как пароли или OTP.

Microsoft создала патч для устранения уязвимости в марте, добавив новую функцию условного доступа под названием Authentication strength, которую администраторы теперь могут активировать в Azure Portal. Новое обновление позволяет принудительно использовать только устойчивые к фишингу методы аутентификации, не оставляя возможности для снижения уровня безопасности.

Эксперты подчёркивают, что сама система WHfB остаётся по прежнему безопасной, но организациям необходимо правильно настроить политики условного доступа, чтобы предотвратить возможность понижения ступени безопасности аутентификации.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«Не думаю, что Nintendo это стерпит, но я очень рад»: разработчик Star Fox 64 одобрил фанатский порт культовой игры на ПК 10 ч.
Корейцы натравят ИИ на пиратские кинотеатры по всему миру 12 ч.
В Epic Games Store стартовала новая раздача Control — для тех, кто дважды не успел забрать в 2021 году 14 ч.
За 2024 год в Steam вышло на 30 % больше игр, чем за прошлый — это новый рекорд 15 ч.
«Яндекс» закрыл почти все международные стартапы в сфере ИИ 16 ч.
Создатели Escape from Tarkov приступили к тестированию временного решения проблем с подключением у игроков из России — некоторым уже помогло 16 ч.
Веб-поиск ChatGPT оказался беззащитен перед манипуляциями и обманом 18 ч.
Инвесторы готовы потратить $60 млрд на развитие ИИ в Юго-Восточной Азии, но местным стартапам достанутся крохи от общего пирога 18 ч.
Selectel объявил о спецпредложении на бесплатный перенос IT-инфраструктуры в облачные сервисы 19 ч.
Мошенники придумали, как обманывать нечистых на руку пользователей YouTube 20 ч.
Чтобы решить проблемы с выпуском HBM, компания Samsung занялась перестройкой цепочек поставок материалов и оборудования 3 ч.
Новая статья: Обзор и тест материнской платы Colorful iGame Z790D5 Ultra V20 9 ч.
Новая статья: NGFW по-русски: знакомство с межсетевым экраном UserGate C150 10 ч.
Криптоиндустрия замерла в ожидании от Трампа выполнения предвыборных обещаний 10 ч.
Открыт метастабильный материал для будущих систем хранения данных — он меняет магнитные свойства под действием света 12 ч.
Новый год россияне встретят под «чёрной» Луной — эзотерика ни при чём 15 ч.
ASRock выпустит 14 моделей Socket AM5-материнских плат на чипсете AMD B850 16 ч.
Опубликованы снимки печатной платы Nvidia GeForce RTX 5090 с большим чипом GB202 17 ч.
От дна океана до космоса: проект НАТО HEIST занялся созданием резервного космического интернета 17 ч.
OpenAI рассматривает возможность выпуска человекоподобных роботов 19 ч.