A Windows laptopok és asztali számítógépek rejtett hibája lehetővé teszi az illetéktelen bejelentkezést (személyazonosság-lopás)

Guy Fawkes-maszkot viselő személy egy Windows-logót néz (Kép forrása: Peakpx és Ahmed Zayan via Unsplash; szerkesztve)

Az ERNW jelentős architektúrális hibát fedezett fel a Microsoft Windows Hello for Business rendszerében, amely lehetővé teszi a rendszergazdai hozzáféréssel rendelkező támadók számára, hogy kicseréljék az arcazonosságokat, és így saját arcukkal bejelentkezzenek egy másik felhasználó fiókjába.

Chibuike Okpara (fordította Ninh Duy), Közzétett 07/16/2025 🇺🇸 🇪🇸 ...

Hack / Data Breach Security

Az ERNW, egy német biztonsági kutatócég friss jelentése részletesen bemutatta a Windows Hello for Business - a Microsoft jelszó nélküli hitelesítési rendszerének - sebezhetőségét. A kutatás, amely egy, a német Szövetségi Információbiztonsági Hivatal (BSI) által finanszírozott projekt része, bemutatja, hogy a készülékhez előzetes hozzáféréssel rendelkező támadók hogyan használhatják ki a rendszer felépítését arra, hogy egyfajta személyazonosság-lopást kövessenek el.

Az "arccsere" néven ismert támadás a Windows Hello biometrikus adatok kezelésének módját használja ki - ahelyett, hogy a felhasználó biometrikus adatait közvetlen hitelesítésre használná, a rendszer egy, a rendszerben tárolt kriptográfiai kulcs feloldására használja azokat. Az ERNW kutatói megállapították, hogy egy rendszergazdai jogosultságokkal rendelkező támadó hozzáférhet és manipulálhatja azt az adatbázist, amely összekapcsolja a felhasználó személyazonosságát a tárolt biometrikus sablonjával.

Egy proof-of-concept támadás során a kutatók sikeresen kicserélték az azonosítókat két beiratkozott felhasználó között. A csere teljesen becsapta a rendszert; a támadó leülhetett a számítógép kamerája elé, és a Windows Hello az arcát használva hozzáférést biztosított számára az áldozat fiókjához, beleértve a vállalati hálózati erőforrások, fájlok és adatok teljes körét.

Laikusan fogalmazva: bármelyik Windows számítógépen (Windows Hello funkcióval), amely több felhasználói profillal rendelkezik, ez a biztonsági hiba lehetővé teszi, hogy bárki, aki rendszergazdai fiókkal rendelkezik, ellopja a rendszerben lévő többi felhasználó személyazonosságát.

Az ERNW azt állítja, hogy felfedezéseit közölte a Microsofttal, de gyanítja, hogy alapvető javítás nem valószínű, mivel az a rendszer architektúra átalakítását igényelné. Egy másik incidensben az ERNW jelentett egy kritikus hibáról a Linux rendszerekben, amely teljes hozzáférést biztosított a támadóknak a rendszerekhez körülbelül két héttel ezelőtt.

Forrás(ok)

ERNW beszúró

Kapcsolódó cikkek

KIWI330: Új egylapos számítógép Intel processzorral. (Kép forrása: Axiomtek)

KIWI330: Új egylapos számítógép és Raspberry Pi alternatíva Windows támogatással 07/11/2025

A ChatGPT beszélgetés ablakának képernyőfotója, amely egy olyan jailbreak-et jelenít meg, amely az érvényes Windows Keys reprodukálására használható. (Kép forrása: ODIN)

A ChatGPT-t érvényes Windows sorozatkulcsok felfedésére lehet rávenni 07/10/2025

Windows 11 banner a Microsoft News-on (Kép forrása: Microsoft News szerkesztéssel)

A Windows 11 25H2 frissítés lehetővé teszi egyes felhasználók számára, hogy eltávolítsák a bosszantó alkalmazásokat és a bloatware-t az operációs rendszerből 07/09/2025

Egy Windows 11-et futtató számítógép, amely a világ legnépszerűbb asztali operációs rendszerévé vált. (Kép forrása: Lenovo)

A Windows 11 végül megelőzi a Windows 10-et, mint a világ első számú asztali operációs rendszere 07/07/2025

A Windows 11 Update 25H2 kiadása után a támogatás 2 és 3 évre változik. (Kép forrása: Microsoft)

A Windows 12-re való átállás legalább egy évet késhet 07/02/2025

A Raycast for Windows már elérhető béta verzióban, meghívásos alapon. (Kép forrása: Raycast)

A macOS egyik legjobb termelékenységi eszköze mostantól a Windows 11-ben is elérhető 06/29/2025

Windows 11 grafika a logóval (Kép forrása: Microsoft News)

A Microsoft azt állítja, hogy a Windows 11 akár 2,3x gyorsabb, mint a Windows 10, de a benchmark különböző generációs CPU-kat használ 06/29/2025

A Microsoft 10 megszűnik, és rendelkezésre állnak olyan lehetőségek, amelyekkel meghosszabbíthatod az élményt. A képen - Windows 10 logó fényes kék háttér előtt. (A kép forrása: Chris Welch / The Verge)

A Windows 10 megszűnik, és a Microsoft három lehetőséget kínál a hosszabbításhoz 06/25/2025

Az Up Squared Pro TWL egy új, Intel lapkakészleteken alapuló SBC (Kép forrása: Aaeon)

Új Raspberry Pi alternatíva 16GB RAM-mal, három 4K monitor és Windows támogatással 06/21/2025

Switch 2 visszafelé kompatibilitás ...

A Philips Hue új intelligens reflek...

Editor of the original article: Chibuike Okpara - Tech Writer - 54 articles published on Notebookcheck since 2024

Translator: Ninh Ngoc Duy - Editorial Assistant - 570786 articles published on Notebookcheck since 2008

contact me via: Facebook

Please share our article, every link counts!

> Magyarország - Kezdőlap > Newsarchive 2025 07 > A Windows laptopok és asztali számítógépek rejtett hibája lehetővé teszi az illetéktelen bejelentkezést (személyazonosság-lopás)

Chibuike Okpara, 2025-07-16 (Update: 2025-07-16)