Spoofing-Angriff gegen Windows-Hello-Face-Authentication

SySS-csm_2017_12_18_Window_Hello_6a58996d5aIm Rahmen eines Forschungsprojekts ist es den beiden IT-Sicherheitsexperten Matthias Deeg und Philipp Buchegger von der SySS GmbH gelungen, das biometrische Authentifizierungsverfahren „Windows Hello Face Authentication“ von Microsoft in verschiedenen Versionen des Betriebssystems Windows-10 mit einem Spoofing-Angriff zu umgehen.

Um Windows-Hello-Face-Authentication auf zahlreichen Windows-10-Versionen auf unautorisierte Weise zu umgehen, benötigt ein Angreifer lediglich einen speziellen Papierausdruck mit dem Gesicht einer berechtigten Person. Was den Papierausdruck besonders macht, sind die folgenden Eigenschaften:

  • Das Gesicht der Person wurde frontal fotografiert.
  • Die Aufnahme der Person wurde im Nahinfrarotbereich erstellt.
  • Helligkeit und Kontrast der Aufnahme wurden mit einfachen Mitteln verändert.
  • Der Papierausdruck wurde mit einem Laserdrucker erzeugt.
  • Mit Papierausdrucken dieser Art ist es möglich, Windows-Hello-Face-Authentication erfolgreich in verschiedenen Versionen von Windows-10 mit unterschiedlichen Hard- und Softwarekonfigurationen zu umgehen.

Die Gesichtserkennung von Windows-10 ist ein integraler Bestandteil des Windows-Biometric-Framework (WBF), das eine Kernkomponente des Windows-10-Betriebssystems darstellt. Windows-Hello-Face-Authentication verwendet für die Benutzerauthentifizierung Informationen einer speziellen Nahinfrarotkamera (Near-IR Camera) und, abhängig von der genutzten Windows-10-Version, zusätzlich auch Informationen einer RGB-Kamera.

Allgemein kann Windows-Hello-Face-Authentication in zwei unterschiedlichen Konfigurationen betrieben werden, zum einen in der Standardkonfiguration ohne aktivierte „Enhanced Anti-Spoofing“-Funktionalität und zum anderen mit aktivierter „Enhanced Anti-Spoofing“-Funktionalität. Die Standardkonfiguration lässt sich hierbei mit einfacheren Mitteln umgehen und stand bei Tests mit unterschiedlicher Hardware (Dell-Latitude-Laptop mit Windows-Hello-kompatibler USB-Kamera von LilBit und Microsoft-Surface-Pro 4) immer zur Verfügung. Die „Enhanced Anti-Spoofing“-Funktionalität hingegen kann laut Microsoft nur mit bestimmter Hardware genutzt werden, wie beispielsweise dem Microsoft-Surface-Pro 4. Eine Liste von Windows-Hello-kompatiblen Geräten wie Laptops, Tablets und Smartphones findet sich beispielsweise auf der Internetpräsenz von Microsoft.

Weitere Informationen darüber, wie Windows-Hello funktioniert und über die zugrunde liegende Metrik bezüglich False-Acceptance-Rate (FAR) und False-Rejection-Rate (FRR), werden ebenfalls auf der Internetpräsenz von Microsoft aufgeführt.

Unser Proof-of-Concept-Video „Biometricks 1/3: Windows Hello Face Authentication Bypass PoC I“ demonstriert beispielhaft einen erfolgreichen Angriff gegen Windows-Hello-Face-Authentication auf einem Microsoft-Surface-Pro 4 mit Windows-10 in der Version 1607 mit aktivierter „Enhanced Anti-Spoofing“-Funktionalität.

Die aktuellen Testergebnisse unserer Forschungsarbeit zu erfolgreichen Authentication Bypass-Angriffen werden in folgender Tabelle zusammengefasst:

SySS-Tabelle-Windows-Hello-AuthentificationIm Frühjahr 2018 werden wir weitere Ergebnisse und Details unseres Forschungsprojekts veröffentlichen, beispielsweise zu unterschiedlichen Variationen des Angriffs. Unser Proof-of-Concept-Video „Biometricks: Windows Hello Face Authentication Bypass PoC II“ zeigt beispielsweise zwei Varianten des Spoofing-Angriffs mit unterschiedlichen Mitteln.

Nach unseren bisher gewonnenen Erkenntnissen sind die neueren Windows-10-Versionen (Branches) 1703 und 1709 mit Nutzung der „Enhanced Anti-Spoofing“-Funktionalität und entsprechender Hardware nicht anfällig für den hier beschriebenen Spoofing-Angriff mit einem Papierausdruck.

Die SySS GmbH empfiehlt daher, bei der Verwendung von Windows-Hello-Face-Authentication das Windows-Betriebssystem auf die neuste Version von 1709 zu aktualisieren, „Enhanced Anti-Spoofing“ zu aktivieren und im Anschluss daran Windows-Hello-Face-Authentication neu zu konfigurieren.

Falls ein Betriebssystemupdate ausgehend von einer anfälligen Windows-10-Version wie beispielsweise 1511 oder 1607 erfolgte, ist Windows-Hello-Face-Authentication ohne Neukonfiguration nach dem Softwareupdate immer noch anfällig für den Spoofing-Angriff, wie unser Proof-of-Concept-Video „Biometricks: Windows Hello Face Authentication Bypass PoC III“ illustriert.

Weitere Informationen zu der beschriebenen Authentication-Bypass-Schwachstelle von Windows-Hello-Face-Authentication findet sich im „Security Advisory SYSS-2017-027„.

#Netzpalaver #SYSS

 

Syss-Netzpalaver-Verweis