Windows Hello for Business に脆弱性:導入方法の弱点を突く PoC が公開

Critical Vulnerability in Windows Hello for Business Discovered by Researcher

2024/07/24 SecurityOnline — Microsoft の Windows Hello for Business (WHfB) 認証システムに存在する深刻な脆弱性を、研究者である Yehuda Smirnov が発見した。これまで、無敵と考えられていたバイオメトリック・セキュリティの信頼性に対して、彼の発見は疑問を投げかけるものだ。WHfB とは、2016年の時点で Windows 10 の商用/企業バージョンに導入されたものであり、フィッシング攻撃に対する防波堤として設計されている。このシステムは、コンピュータの TPM (Trusted Platform Module) に埋め込まれた暗号キーを採用し、生体認証または暗証番号により起動するものだ。しかし、Accenture の倫理的ハッカーで構成される Red Team の一員である Yehuda Smirnov が、認証要求のパラメーターを変更することで、この防御の回避が可能になることを発見した。


このプラットフォームの不完全さについて、最初に言及した人物が Yehuda Smirnov ではないことに注目すべきだろう。たとえば 2019年の時点で、複数の研究者たちが、WHfB の攻撃ベクターについて、特に検出メカニズムを回避する永続的な Active Directory バックドアについて調査していた。

WHfB の保護は、認証レベルをダウングレードすることで回避できる。そして Smirnov は、Evilginx フレームワークを利用して中間者攻撃 (AitM) を行い、Microsoft の認証サービスへのリクエストを傍受した上で、それを変更した。その結果として、標的システムの安全性は、従来からのパスワードやワンタイム SMS コードといった低レベルの方法に戻った。

この攻撃を実行するために、ハッカーたちは Evilginx のコードを修正し、プロセスを自動化するための特別なフィッシュレットを作成した。この攻撃を成功させる鍵は、”/common/GetCredentialType” リクエストのユーザー・エージェントまたは、”isFidoSupported” パラメーターを変更することにあった。

ただし、この脆弱性により、WHfB プロトコルの安全性が本質から崩れるというわけではない。ここでの問題は、ユーザー組織が設定する認証の厳格さと、その実施の方法にある。Smirnov は、「一般的なユーザー組織は、フィッシングに耐性のある方法のみを用いて、ユーザーのサインインを強制する能力を欠いており、安全でない認証の経路の余地を残している」と指摘する。

ユーザーのデバイスに対して、最初に Windows Hello をセットアップする際に、WHfB システムは秘密鍵を作成し、それをコンピュータのセキュアな TPM モジュールに保存する。したがって、システムにログインするには、Windows Helloと互換性のある生体認証または PIN 確認が必要となる。

Microsoft は、ブラウザの WebAuthn API を通じて生成するのは、ユーザーのデバイスに送信されるリクエストである。その後に、WebAuthn は Windows Hello と対話し、秘密鍵を使った確認を要求する。WebAuthn とは W3C 標準であり、FIDO2 や Passkeys などの最新の認証方法の基礎である。

Smirnov の発見を受けて Microsoft は、2024年3月にアップデートをリリースした。それにより、”認証強度” と呼ばれる新しい機能が、Azure ポータルに追加された。それにより管理者は、従業員がフィッシングに強いログイン方法のみを使用するよう、システムを設定することが可能となる。

この機能は、Microsoft Entra ID アプリケーションと連動しており、柔軟な保護レベルの設定が可能である。したがって管理者は、保護されるデータの重要性、ユーザーのリスク・レベル、規制要件、ユーザーの所在地などの、さまざまな要因を考慮することが可能となる。以下の、PoC エクスプロイト・ビデオを確認してほしい。


この研究の詳細は、8月8日にラスベガスで開催される、Black Hat USA 2024 カンファレンスで発表される予定である。

Black Hat で公表されるときに CVE が採番されるのでしょうか? Windows Hello for Business (WHfB) の実装方法に存在する脆弱性とのことなので、このバイオメトリック認証の要に問題があるわけではないようです。Black Hat レポートを、見逃さないようにしたいです。よろしければ、Black Hat で検索も、ご利用ください。