Vulnerabilidad crítica en Windows Hello: la biometría ya no es suficiente

El investigador Yehuda Smirnov ha descubierto una grave vulnerabilidad en el sistema de autenticación Windows Hello for Business (WHfB) de Microsoft. Su hallazgo cuestiona la fiabilidad de la protección biométrica, considerada por muchos como insuperable.

WHfB, implementado por Microsoft en 2016 para las versiones comerciales y corporativas de Windows 10, fue diseñado como un escudo contra los ataques de phishing. El sistema utiliza claves criptográficas integradas en el Módulo de Plataforma de Confianza (TPM) del ordenador y se activa mediante verificación biométrica o código PIN. Sin embargo, Smirnov, quien trabaja en el equipo de "hackers éticos" de Accenture, descubrió que esta protección puede ser burlada alterando parámetros en la solicitud de autenticación.

Cabe destacar que Yehuda no es el primero en notar las imperfecciones de la plataforma. Por ejemplo, en 2019, investigadores ya habían estudiado vectores de ataque en WHfB, en particular una puerta trasera persistente en Active Directory que eludía los medios de detección.

La protección de WHfB puede ser eludida reduciendo el nivel de autenticación. Smirnov utilizó el marco Evilginx para un ataque adversario-en-medio (AitM) para interceptar y modificar solicitudes a los servicios de autenticación de Microsoft. Como resultado, el sistema cambiaba a métodos menos seguros, como contraseñas comunes o códigos SMS de un solo uso.

Para llevar a cabo el ataque, el hacker modificó el código de Evilginx y creó un "phishlet" especial para automatizar el proceso. La clave del éxito del ataque fue cambiar el parámetro "user-agent" o "isFidoSupported" en la solicitud "/common/GetCredentialType".

La vulnerabilidad en sí no significa que el protocolo WHfB sea inseguro. El problema radica en cómo las organizaciones configuran y aplican una autenticación estricta. "¿De qué sirve una autenticación resistente al phishing si se puede degradar simplemente a un método no seguro?", señala Smirnov.

Al configurar Windows Hello por primera vez en el dispositivo del usuario, el sistema WHfB crea una clave privada y la guarda en el módulo TPM protegido del ordenador. Por lo tanto, para iniciar sesión se requiere una verificación de identidad mediante biometría o un PIN compatible con Windows Hello.

Microsoft crea una solicitud que se envía al dispositivo del usuario a través del API WebAuthn en el navegador. Luego, WebAuthn interactúa con Windows Hello, solicitando la verificación mediante la clave privada. WebAuthn es un estándar del W3C que sustenta los métodos de autenticación modernos como FIDO2 y passkeys.

En respuesta al descubrimiento de Smirnov, Microsoft lanzó una actualización en marzo. En el portal de Azure apareció una nueva función llamada "fuerza de autenticación". Con ella, los administradores pueden configurar el sistema para que los empleados usen solo métodos de inicio de sesión resistentes al phishing.

La función trabaja con las aplicaciones Microsoft Entra ID y permite ajustar el nivel de protección de forma flexible. Los administradores pueden considerar diversos factores: la importancia de los datos protegidos, el nivel de riesgo del usuario, los requisitos regulatorios e incluso la ubicación del usuario.

Los detalles de la investigación se presentarán en la conferencia Black Hat USA 2024 en Las Vegas el 8 de agosto.