Lỗ hổng Windows Hello cho phép hacker đăng nhập bằng ảnh khuôn mặt giả mạo

Hồi tháng 5 vừa qua, Microsoft đã bắt đầu thiết lập các tài khoản mới ở chế độ mặc định không dùng mật khẩu. Thay vì nhập mật khẩu, hãng khuyến khích người dùng chuyển sang các phương thức đăng nhập hiện đại như passkey hoặc Windows Hello.

Tuy nhiên, mới đây, tại hội nghị bảo mật Black Hat ở Las Vegas, hai nhà nghiên cứu Tillmann Osswald và Tiến sĩ Baptiste David (đến từ Đức) đã tiết lộ cách thức mà phiên bản Windows Hello dành cho doanh nghiệp có thể bị bẻ khóa, nêu lên một vấn đề bảo mật cực kỳ nghiêm trọng.

“Xâm nhập” trực tiếp

Theo đó, trong phần demo, David đăng nhập máy tính của mình bằng nhận diện khuôn mặt . Sau đó, Osswald – đóng vai hacker với quyền quản trị viên cục bộ (local admin) – chỉ cần chạy vài dòng lệnh. Anh chèn dữ liệu quét khuôn mặt của mình (được chụp trên một máy khác) vào cơ sở dữ liệu sinh trắc học của máy mục tiêu. Chỉ vài giây sau, Osswald ghé mặt vào camera và… máy tính mở khóa ngay lập tức, nhận nhầm gương mặt Osswald là của David.

Cách thức hoạt động của Windows Hello

Khi Windows Hello được thiết lập lần đầu, dịch vụ này sẽ tạo cặp khóa công khai/riêng tư . Khóa công khai được đăng ký với nhà cung cấp ID của tổ chức (như Entra ID).

Dữ liệu sinh trắc học (khuôn mặt, vân tay…) được lưu trong cơ sở dữ liệu do Windows Biometric Service (WBS) quản lý, và cơ sở dữ liệu này được mã hóa. Khi đăng nhập, hệ thống sẽ so khớp dữ liệu quét trực tiếp với mẫu đã lưu.

Vấn đề là: trong một số trường hợp, lớp mã hóa này không thể ngăn kẻ tấn công có quyền admin cục bộ giải mã và thay thế dữ liệu sinh trắc học.

Để khắc phục, Microsoft giới thiệu ESS – tính năng bảo mật nâng cao, đặt toàn bộ quá trình xác thực sinh trắc học vào môi trường bảo mật biệt lập do hypervisor của hệ thống quản lý.

Nhưng ESS chỉ hoạt động khi máy đáp ứng đủ yêu cầu phần cứng bao gồm:

• CPU 64-bit đời mới hỗ trợ ảo hóa phần cứng (VBS)
• Chip TPM 2.0
• Secure Boot bật trong BIOS/UEFI
• Cảm biến sinh trắc học được chứng nhận đặc biệt

Microsoft quy định đây là tính năng bắt buộc trên dòng Copilot+ PC, nhưng rất nhiều máy hiện tại không đáp ứng đủ, nhất là những PC dùng chip AMD không có cảm biến camera bảo mật.

Theo hai nhà nghiên cứu Osswald và David, việc vá lỗi triệt để gần như là bất khả thi nếu không thiết kế lại toàn bộ kiến trúc lưu trữ dữ liệu sinh trắc học. Vì vậy, nếu đang dùng Windows Hello không có ESS , họ khuyên nên tắt hoàn toàn chức năng sinh trắc học và chuyển sang dùng mã PIN.

Để kiểm tra xem hệ thống có hỗ trợ ESS không, bạn vào Settings > Accounts > Sign-in options. Nếu thấy tùy chọn “Đăng nhập bằng camera hoặc đầu đọc vân tay ngoài”:

• Tắt: ESS đang hoạt động (nhưng thiết bị ngoại vi như USB vân tay sẽ không dùng được).
• Bật: ESS bị vô hiệu hóa (dùng được thiết bị ngoài nhưng giảm bảo mật).

Microsoft cho biết một số thiết bị ngoại vi “tương thích Windows Hello” có thể bật ESS, nhưng để an toàn, nên cắm thiết bị ngay từ lần khởi động đầu tiên và không rút ra. Hỗ trợ đầy đủ cho thiết bị ngoài kèm ESS dự kiến phải đến cuối 2025 mới có.