Microsoft уже выпустило обновление, закрывающее «дыру» в безопасности.
В системе проверки подлинности Windows Hello для бизнеса (Windows Hello for Business, WHfB) была выявлена уязвимость, позволяющая злоумышленникам обходить биометрическую защиту компьютеров и ноутбуков. WHfB оказалась подвержена атакам при помощи метода понижения уровня защиты, несмотря на использование криптографических ключей, сообщает 3dnews.ruWHfB — это функция, доступная в коммерческих и корпоративных версиях Windows 10 с 2016 года. Предполагалось, что она обеспечит более высокий уровень безопасности по сравнению с паролями или одноразовыми паролями (OTP), отправляемыми по SMS.Уязвимость позволяет хакерам понижать уровень защиты аутентификации, открывая доступ к учётным записям пользователей. Злоумышленник может перехватывать и изменять запросы к сервису аутентификации Microsoft, понижая уровень безопасности Windows Hello для бизнеса до менее безопасных уровней проверки, таких как пароли или OTP.Microsoft создала патч для устранения уязвимости в марте, добавив новую функцию условного доступа под названием Authentication strength, которую администраторы теперь могут активировать в Azure Portal. Новое обновление позволяет принудительно использовать только устойчивые к фишингу методы аутентификации, не оставляя возможности для снижения уровня безопасности.