Nieuwe Windows Hello-fout laat hackers inloggen met hun eigen gezicht

ERNW heeft een nieuwe aanval op Microsofts Windows Hello for Business gedemonstreerd. Zij presenteerden deze aanval op de Black Hat USA 2025 conferentie. Deze nieuwe aanval volgt op een nauw verwante aanval die het bedrijf in juli deelde.

Deze nieuwe aanval - "Faceplant" genaamd - stelt een aanvaller met beheerdersrechten in staat om de gezichtsherkenning-aanmelding van een andere gebruiker volledig te omzeilen. De onderzoekers leggen uit dat de aanvaller eerst zijn/haar gezicht op een willekeurige computer kan registreren om een biometrisch sjabloon te genereren. Voor de leek is een biometrisch sjabloon een digitale weergave van uw gezicht, die de computer aanmaakt en opslaat wanneer u uw gezicht of vingerafdruk erop registreert. Dit is wat de computer vervolgens gebruikt om uw gezicht of vingerafdruk te identificeren wanneer u deze probeert te gebruiken om uw computer te ontgrendelen.

Voor de volgende stap decodeert en extraheert de aanvaller de sjabloon. In de laatste stap injecteert de aanvaller deze sjabloon in de biometrische database van het slachtoffer op de doelcomputer. Hierdoor kan de aanvaller als het slachtoffer inloggen met zijn eigen gezicht. Dit is een aanzienlijke afwijking van de Face Swap-aanval die ERNW in juli meldde.

De vorige aanval vereiste dat een aanvaller identifiers verwisselde (dit zijn in feite de tags waarmee sjablonen worden geïdentificeerd) tussen twee gebruikersaccounts die al op hetzelfde apparaat zijn geregistreerd. Deze nieuwe aanval gaat een stap verder; hij richt zich op de sjablonen in plaats van op de identifiers, en de aanvaller kan de kwaadaardige sjabloon op elke computer genereren.