Windows Hello für Business: Sicherheitslücke ermöglicht Manipulation biometrischer Daten
von caschy | Ein Kommentar
Auf der Black Hat Konferenz in Las Vegas haben deutsche Sicherheitsforscher eine kritische Schwachstelle in Microsofts biometrischem Authentifizierungssystem Windows Hello for Business aufgedeckt. Dr. Baptiste David und Tillmann Osswald vom Sicherheitsunternehmen ERNW Research zeigten, wie lokale Administratoren oder kompromittierte Admin-Accounts biometrische Daten in das System einschleusen können.
Die Forscher demonstrierten, wie sich die Verschlüsselung der Windows Biometric Service Datenbank umgehen lässt. Nach einer erfolgreichen Gesichtserkennung konnte das Team mit wenigen Codezeilen einen fremden biometrischen Scan in die Datenbank injizieren und damit unbefugten Zugriff erlangen.
Microsoft hat mit Enhanced Sign-in Security (ESS) zwar eine Schutzfunktion implementiert, die auf einer höheren Hypervisor-Vertrauensebene (VTL1) arbeitet. Diese ist standardmäßig aktiviert, wird aber nicht von allen PC-Systemen unterstützt. „ESS blockiert diesen Angriff effektiv, kann aber nicht überall eingesetzt werden“, erläutert Osswald gegenüber The Register. Als Beispiel nennt er aktuelle ThinkPads mit AMD-Prozessoren, denen ein sicherer Kamerasensor fehlt.
Die Behebung des Problems gestaltet sich komplex und würde eine umfangreiche Code-Überarbeitung oder die Nutzung des TPM-Moduls zur Speicherung der biometrischen Daten erfordern. Die Sicherheitsforscher empfehlen Nutzern von Windows Hello for Business ohne ESS-Unterstützung, auf biometrische Anmeldung zu verzichten und stattdessen eine PIN zu verwenden. Da sollten dann die Admins mal ran, das Ganze sollte man mit Coreinfo checken können, meine ich. Letzten Endes habt ihr oben ja herausgelesen, dass der Angreifer direkten Zugriff auf die Kiste haben muss. Damit ist er ja schon quasi durch die Luke…
Die Forschungsarbeit wurde übrigens vom Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen des zweijährigen Projekts „Windows Dissect“ gefördert, das im Frühjahr 2026 abgeschlossen wird. Microsoft hat sich zu den Erkenntnissen bisher nicht geäußert.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Wenn ich in der verlinkten Doku schaue, sehe ich weder ESS noch Enhanced (außer Speedstep)… wie kann ich das mit Coreinfo checken?