Uma falha de segurança crítica foi descoberta no sistema de autenticação facial Windows Hello, presente em milhões de computadores e notebooks que utilizam o sistema operacional da Microsoft. A vulnerabilidade, apelidada de “The Face Swap” (A Troca de Rosto), permite que um invasor com privilégios de administrador em uma máquina engane o sistema e faça login na conta de outro usuário usando o seu próprio rosto.
- Fim das senhas no Microsoft Authenticator: 5 apps para guardar suas credenciais
- O Windows 10 ainda vai funcionar após outubro? Veja como será o fim do suporte
A descoberta foi feita pela ERNW, empresa alemã de pesquisa em segurança. Segundo os pesquisadores, o problema está na arquitetura do Windows Hello for Business. Em vez de a biometria ser usada para autenticação direta, ela serve para desbloquear uma chave criptográfica. A companhia descobriu que é possível acessar e alterar o banco de dados que associa a identidade de um usuário à sua biometria.
Como o ataque pode acontecer
O ataque consiste em trocar os identificadores de segurança (SIDs) entre dois usuários cadastrados no sistema. Dessa forma, um invasor com acesso administrativo pode associar sua própria biometria facial à conta de um usuário de domínio, por exemplo. Ao entrar no Windows com seu próprio rosto, o sistema dá ao invasor acesso total à conta da vítima, incluindo todos os seus arquivos, dados e recursos da rede corporativa.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
A Microsoft foi notificada sobre a falha, mas os pesquisadores da ERNW acreditam que uma correção definitiva é improvável. Isso porque a vulnerabilidade está na própria arquitetura do sistema, e uma solução exigiria a reformulação completa da forma como o Windows Hello lida com a autenticação biométrica.
Veja mais do CTUP:
- Como tirar print no PC? Veja 7 formas diferentes de fazer
- Como o Iniciar do Windows 11 foi criado? Microsoft detalha processo
- Windows 11 24H2 é liberado para todos; veja como atualizar o seu computador
Leia a matéria no Canaltech.
