Buzz
Từ tháng 5, Microsoft đã chuyển sang chế độ mặc định 'không mật khẩu' cho các tài khoản mới. Thay vì sử dụng mật khẩu truyền thống, hãng khuyến nghị người dùng áp dụng các phương thức bảo mật tiên tiến như passkey hoặc công nghệ Windows Hello.
Mới đây, hai chuyên gia bảo mật Tillmann Osswald và Tiến sĩ Baptiste David từ Đức đã công bố tại hội nghị Black Hat ở Las Vegas rằng phiên bản Windows Hello dành cho doanh nghiệp có thể bị vô hiệu hóa hoàn toàn.
Trong buổi demo trực tiếp, David đã đăng nhập bằng khuôn mặt thật của mình. Sau đó, Osswald - trong vai trò kẻ tấn công có quyền admin - chỉ cần thực thi vài dòng lệnh và chèn dữ liệu khuôn mặt của mình (lấy từ máy khác) vào hệ thống nhận diện của máy mục tiêu. Chỉ trong tích tắc, hệ thống đã mở khóa khi nhận diện khuôn mặt Osswald như thể đó là David.
Để hiểu rõ cuộc tấn công này, cần phân tích cách Windows Hello vận hành trong môi trường doanh nghiệp. Khi thiết lập ban đầu, hệ thống tạo ra cặp khóa công khai/riêng tư, với khóa công khai được đăng ký lên hệ thống quản lý danh tính của tổ chức (như Entra ID). Dữ liệu sinh trắc học được lưu trữ trong cơ sở dữ liệu có mã hóa do Windows Biometric Service (WBS) quản lý. Quá trình xác thực sẽ so sánh ảnh quét mới với mẫu đã lưu.
Lỗ hổng chính nằm ở việc lớp mã hóa đôi khi không thể ngăn chặn kẻ tấn công đã có quyền admin cục bộ, cho phép chúng giải mã dữ liệu sinh trắc học.
Microsoft đã phát triển giải pháp Enhanced Sign-in Security (ESS) - cách ly toàn bộ quá trình xác thực sinh trắc học trong môi trường bảo mật được kiểm soát bởi hypervisor của hệ thống.
Tuy nhiên, ESS yêu cầu cấu hình phần cứng đặc biệt: CPU 64-bit thế hệ mới hỗ trợ ảo hóa (do ESS sử dụng công nghệ Virtualization-Based Security), chip TPM 2.0, Secure Boot được kích hoạt trong firmware, cùng cảm biến sinh trắc học đạt chứng nhận cao cấp. Hiện Microsoft bắt buộc tiêu chuẩn này cho các dòng Copilot PC mới, nhưng theo Osswald, nhiều thiết bị hiện tại không đáp ứng được.
ESS có thể ngăn chặn kiểu tấn công này, nhưng không phải thiết bị nào cũng tương thích. Chẳng hạn, nhóm nghiên cứu đã mua laptop ThinkPad khoảng 18 tháng trước nhưng camera không đạt chuẩn bảo mật do sử dụng chip AMD thay vì Intel.
Tillmann Osswald (phải) và Baptiste David có khuôn mặt hoàn toàn khác nhau.
Theo đánh giá của Osswald và David, việc phát hành bản vá toàn diện gần như 'bất khả thi' nếu không xây dựng lại toàn bộ kiến trúc lưu trữ dữ liệu sinh trắc học trên các hệ thống không dùng ESS. Do đó, nếu đang sử dụng Windows Hello trên máy doanh nghiệp mà không có ESS, họ khuyên nên tắt xác thực sinh trắc và chuyển sang dùng mã PIN.
Để kiểm tra ESS, vào System Settings, chọn Sign-in options trong phần tài khoản. Nếu thấy tùy chọn 'Sign in with an external camera or fingerprint reader' đang tắt nghĩa là ESS đang hoạt động (không thể dùng thiết bị ngoại vi). Nếu bật lên, ESS sẽ tắt nhưng bảo mật sẽ giảm.
Microsoft cho biết một số thiết bị 'tương thích Windows Hello' có thể kích hoạt ESS, nhưng cần kết nối ngay từ lần khởi động đầu tiên và không được tháo ra. Hỗ trợ đầy đủ cho thiết bị ngoài với ESS dự kiến sẽ có vào cuối năm 2025.
