🔥 В Window Hello нашли критическую уязвимость. Насколько все плохо?
Новости
Оказалось, что некоторое время назад очередной проект Microsoft столкнулся с проблемой — на этот раз речь о Windows Hello
122 открытий3К показов
Недавно Йехуда Смирнов, исследователь безопасности и участник red team, обнаружил новый способ фишинга через аутентификацию Windows Hello for Business (WHfB).
Windows Hello for Business — это механизм аутентификации, который использует криптографическую пару ключей, хранящихся на устройстве. Он предназначен для защиты пользователей от атак типа «человек посередине» (MITM), которые часто применяются для кражи учетных данных и сессий.
Уязвимость позволяет злоумышленникам обойти защиту, предоставляемую WHfB, и использовать менее надежные методы проверки пользователя.
Уязвимость и атака
Смирнов объяснил, что уязвимость связана с перехватом и изменением запросов аутентификации. Злоумышленник может изменить параметры POST-запроса, такие как User-Agent или isFidoSupported, чтобы снизить уровень безопасности аутентификации до фишируемого метода.
При попытке пользователя войти на login.microsoftonline.com с использованием WHfB, система автоматически предлагает этот метод аутентификации.
Однако, изменив POST-запросы, мошенник может заставить систему использовать менее защищенный метод, например, обычный логин и пароль.
Доказательство концепции (PoC)
Смирнов показал видео, где демонстрируется, как это работает.
Он использовал измененный EvilGinx-код для автоматизации атаки и создания «фишлета», который перехватывает и изменяет запросы.
Это позволило ему принудительно понизить метод аутентификации:
Рекомендации по защите
Для защиты от этой уязвимости, Microsoft порекомендовала создать политики условного доступа, использующие новый контроль «Authentication strength».
Так администраторы смогут задать комбинации методов аутентификации, которые можно использовать для доступа к ресурсам и потребовать более защищенные методы для чувствительных ресурсов.
Отчет и исправления
10 сентября 2023 года уязвимость была сообщена Microsoft, а уже 6 ноября 2023 года компания выпустила исправление.
Подробности исследования будут представлены на конференции Black Hat USA 2024 в Лас-Вегасе 8 августа.
122 открытий3К показов
Свежее исследование показало, что такие крупные компании, как Apple, Microsoft и SpaceX, начали терять старших сотрудников из-за возвращения в офис
Это исследование, опубликованное в мае и освещенное The Washington Post, демонстрирует значительные последствия RTO для ведущих технологических компаний.
Устанавливаем виртуалку любой оперативной системы на ваш мак
Исследование Positive Technologies выявило, что ИБ-специалисты имеют менее недели на установку апдейтов. Вирусы и хакеры активно эксплуатируют уязвимости в WinRAR, Fortinet и Spring Framework. Эксперты рекомендуют инвентаризацию активов и системы управления уязвимостями для защиты IT-компаний.
Сотрудничество OpenAI и Apple выходит на новый уровень — глава App Store Фил Шиллер станет наблюдателем в совете директоров создателей ChatGPT