Verborgen fout in Windows laptops en desktops maakt onbevoegd inloggen mogelijk (identiteitsdiefstal)

Een persoon met een Guy Fawkes-masker kijkt naar een Windows-logo (bron: Peakpx en Ahmed Zayan via Unsplash; bewerkt)

ERNW heeft een belangrijke architectuurfout ontdekt in Microsofts Windows Hello for Business, waardoor aanvallers met administratieve toegang gezichtsidentiteiten kunnen verwisselen, waardoor ze met hun eigen gezicht kunnen inloggen op het account van een andere gebruiker.

Chibuike Okpara (vertaald door Ninh Duy), Gepubliceerd 16-07-2025 🇺🇸

Hack / Data Breach Security

In een nieuw rapport van ERNW, een Duits beveiligingsonderzoeksbureau, wordt een kwetsbaarheid beschreven in Windows Hello for Business - het wachtwoordloze authenticatiesysteem van Microsoft. Het onderzoek, dat deel uitmaakt van een project dat wordt gefinancierd door het Duitse Federale Bureau voor Informatiebeveiliging (BSI), laat zien hoe aanvallers met voorafgaande toegang tot een apparaat het ontwerp van het systeem kunnen misbruiken om een vorm van identiteitsdiefstal te plegen.

Deze aanval, die "The Face Swap" wordt genoemd, maakt gebruik van de manier waarop Windows Hello omgaat met biometrische gegevens - in plaats van de biometrische gegevens van een gebruiker te gebruiken voor directe authenticatie, gebruikt het systeem deze gegevens om een cryptografische sleutel te ontgrendelen die op het systeem is opgeslagen. ERNW-onderzoekers ontdekten dat een aanvaller met beheerdersrechten toegang kan krijgen tot de database die de identiteit van een gebruiker koppelt aan zijn opgeslagen biometrische sjabloon en deze kan manipuleren.

In een proof-of-concept aanval verwisselden de onderzoekers met succes de identifiers tussen twee geregistreerde gebruikers. Een aanvaller kon voor de camera van de computer gaan zitten en Windows Hello zou zijn gezicht gebruiken om hem toegang te verlenen tot de account van het slachtoffer, inclusief alle bedrijfsnetwerkbronnen, bestanden en gegevens.

In lekentaal: op elke Windows-computer (met Windows Hello) met meerdere gebruikersprofielen kan door dit beveiligingslek iedereen met een beheerdersaccount de identiteit van andere gebruikers in het systeem stelen.

ERNW zegt dat het zijn bevindingen heeft doorgegeven aan Microsoft, maar vermoedt dat een fundamentele oplossing onwaarschijnlijk is, omdat daarvoor de architectuur van het systeem zou moeten worden herzien. In een afzonderlijk incident meldde ERNW een kritieke fout in Linux-systemen waardoor aanvallers volledige toegang hadden tot die systemen tot die systemen, ongeveer twee weken geleden.