На DEF CON представили инструмент для взлома Windows Hello

На недавно прошедшей конференции DEF CON представили новый инструмент под названием Shwmae, который способен обходить защиту системы Windows Hello — биометрической системы аутентификации, разработанной компанией Microsoft. Shwmae предназначен для использования пользователями, получившими привилегированный доступ к системе.

Shwmae представили в докладе о том, как обойти защиту Windows Hello удалённо, без необходимости физически взаимодействовать с устройством пользователя. В руках злоумышленников инструмент позволяет извлекать и использовать ключи, сертификаты и другие защищённые данные, которые в обычных условиях остаются недоступными.

Если не указаны дополнительные параметры, программа по умолчанию работает в режиме перечисления и предоставляет специфические возможности для атаки на систему. Также можно явно включить этот режим с помощью команды enum. В режиме перечисления программа покажет список всех доступных контейнеров Windows Hello, а затем для каждого контейнера выведет список всех зарегистрированных ключей и средств защиты Windows Hello. Если на компьютере нет модуля TPM (специального чипа для защиты данных), программа создаст хеш PIN-кода, который затем можно попытаться взломать офлайн с помощью инструмента hashcat.

Биометрический протектор, связанный с распознаванием лиц или отпечатков пальцев, расшифровывается автоматически, что делает его особенно уязвимым для атак. Однако другие протекторы, такие как PIN и Recovery, требуют дополнительных усилий для расшифровки, что делает Shwmae особенно опасным в руках опытного злоумышленника.

Ещё одной важной функцией Shwmae является возможность работы с PRT (Primary Refresh Token). С помощью инструмента можно генерировать и обновлять PRT, используя зарегистрированные в Windows Hello ключи. Если в целевой организации включена облачная доверительная аутентификация (Cloud Trust), инструмент позволяет расшифровать Cloud TGT (Ticket Granting Ticket), что даёт злоумышленнику возможность аутентифицироваться в корпоративной сети с правами пользователя, открывая широкие возможности для дальнейших атак на внутренние ресурсы.

В режиме WebAuthn Shwmae позволяет создавать веб-сервер для перехвата и проксирования запросов WebAuthn с атакующего хоста. Злоумышленник может установить на скомпрометированном устройстве веб-сервер, который будет принимать запросы от атакующего браузера и использовать скомпрометированные учетные данные для входа через Passkey-аутентификацию. Эта функция особенно опасна, так как позволяет злоумышленнику использовать чужие учетные данные без физического доступа к устройству жертвы.

Режим дампа (Dump) позволяет извлекать приватные ключи, защищённые Windows Hello, но только в тех случаях, когда они хранятся в программном обеспечении, а не на аппаратном уровне. Утечка таких ключей может привести к потере контроля над учетными записями и данными, что представляет серьёзную угрозу для безопасности.

Последний, но не менее важный режим — это режим подписи (Sign), который позволяет злоумышленнику подписывать любые данные, используя выбранный ключ Windows Hello. В таком сценарии возможны поддельные цифровые подписи, что делает этот режим потенциально опасным для злоупотребления в различных сценариях.