Datenschutz & Sicherheit

BSI seziert Windows Hello: Wo Microsofts Anmeldung an Grenzen stößt


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die erste technische Analyse aus seinem Projekt „Windows seziert“ veröffentlicht. Die 169 Seiten lange Untersuchung nimmt Windows Hello for Business (WHfB) auseinander – Microsofts Anmeldung per PIN oder Biometrie für Unternehmensumgebungen. Anders als die offizielle Dokumentation beschreibt die Analyse nicht nur die Architektur, sondern rekonstruiert zahlreiche interne Abläufe per Reverse Engineering und bewertet sie aus Sicht eines Angreifers mit lokalen Administratorrechten.

Weiterlesen nach der Anzeige

Windows Hello for Business ersetzt klassische Passwörter durch schlüsselbasierte Anmeldungen. Nutzer authentifizieren sich lokal per PIN oder biometrischem Merkmal wie Gesicht oder Fingerabdruck. Das eigentliche Geheimnis – ein kryptografischer Schlüssel – bleibt auf dem Gerät, idealerweise geschützt durch das Trusted Platform Module (TPM). Gegenüber Active Directory oder Microsoft Entra ID weist sich anschließend nicht das Passwort, sondern das Gerät mit diesem Schlüssel aus.

Die Analyse des BSI bestätigt diesen grundsätzlichen Aufbau von Windows Hello for Business. Gleichzeitig beschreibt sie mehrere Einschränkungen und Angriffsmöglichkeiten, die Microsoft zwar teilweise erwähnt, aber deutlich weniger ausführlich bewertet.

Eine der wichtigsten Erkenntnisse betrifft die Rolle des TPM. In der offiziellen Dokumentation gilt es als zentrale Schutzkomponente von Windows Hello. Laut BSI trifft das jedoch nicht uneingeschränkt zu.

Ohne den Sicherheitsmodus Enhanced Sign-in Security (ESS) schützt das TPM die biometrischen Vorlagen für die Gesichtserkennung nicht direkt. Diese werden zwar verschlüsselt auf dem lokalen System gespeichert, der dafür benötigte Schlüssel bleibt jedoch ebenfalls lokal verfügbar. Nach Einschätzung des BSI können lokale Administratoren deshalb sowohl die Datenbank als auch die gespeicherten Templates entschlüsseln.

Erst mit aktiviertem ESS ändert sich dieses Sicherheitsmodell grundlegend. Dann werden sicherheitskritische Teile der biometrischen Verarbeitung in eine durch Virtualization-based Security (VBS) geschützte Umgebung verlagert. Zusätzlich kommt das TPM unter anderem für HMAC-basierte Autorisierungstickets und Replay-Schutz zum Einsatz.

Das BSI empfiehlt deshalb ausdrücklich, ESS zu aktivieren – sofern geeignete Hardware vorhanden ist. Gleichzeitig weist die Behörde darauf hin, dass bislang nur sehr wenige Sensoren diesen Modus vollständig unterstützen. Bereits 2023 hatten Sicherheitsforscher mehrere Fingerabdrucksensoren für Windows Hello angegriffen.

Weiterlesen nach der Anzeige

Besonders kritisch bewertet die Studie die Sicherheitsannahmen hinter biometrischer Anmeldung. Das BSI argumentiert, dass biometrische Merkmale im Gegensatz zu einer PIN keine zusätzliche Entropie in das System einbringen.

Der Unterschied liegt im Ablauf der Anmeldung. Eine PIN liefert bei jeder Anmeldung neues Wissen des Benutzers. Biometrische Merkmale dienen dagegen lediglich dazu, lokal den Zugriff auf bereits vorhandenes Schlüsselmaterial freizugeben. Für einen Angreifer mit administrativen Rechten befinden sich damit alle für die Authentifizierung benötigten Komponenten bereits auf dem Rechner.

Deshalb bewertet das BSI eine ausreichend lange PIN in Kombination mit TPM und dessen Brute-Force-Schutz teilweise günstiger als die biometrische Anmeldung ohne ESS. Diese Einschätzung gilt allerdings ausdrücklich für das Bedrohungsmodell eines Angreifers mit lokalen Administratorrechten. Vor typischen Angriffen wie Phishing oder Passwortdiebstahl schützt Windows Hello for Business wie gehabt, indem das eigentliche Authentifizierungsgeheimnis das Gerät nicht verlässt.

Aus der Analyse leitet das BSI außerdem eine ungewöhnlich konkrete Empfehlung für Unternehmen ab: Pro Gerät sollte möglichst nur ein Benutzer für Windows Hello registriert werden.

Grund ist die lokale Verwaltung der biometrischen Datenbank: Befindet sich auf einem Rechner bereits das biometrische Template eines anderen Domänenbenutzers, könnte ein lokaler Administrator dieses theoretisch manipulieren oder dessen Identität übernehmen. Voraussetzung dafür ist allerdings, dass der betreffende Benutzer zuvor bereits auf genau diesem Gerät registriert wurde.

Die Behörde ordnet dieses Risiko in den breiteren Security-Kontext ein. Ein lokaler Administrator verfüge ohnehin bereits über zahlreiche Möglichkeiten zur Rechteausweitung, etwa über Pass-the-Hash- oder Pass-the-Ticket-Angriffe. Windows Hello for Business eröffne hier keinen völlig neuen Angriffsweg, sondern erweitere das bestehende Bedrohungsmodell.

Über die Sicherheitsbewertung hinaus liefert die Analyse zahlreiche bislang nicht dokumentierte technische Details. Das BSI rekonstruiert unter anderem den vollständigen Authentifizierungsablauf zwischen FaceCredentialProvider, Windows Biometric Service, Microsoft Passport, LSASS und Kerberos. Außerdem beschreibt die Analyse interne RPC-Schnittstellen, die Struktur der biometrischen Datenbank sowie den Aufbau der Schlüsselhierarchie.

Die Autoren weisen zudem auf Lücken in Microsofts Entwicklerdokumentation hin. Während die Fingerabdruckerkennung vergleichsweise gut beschrieben sei, fehle für die Gesichtserkennung an mehreren Stellen weiterführende Dokumentation, etwa zu asynchronen API-Aufrufen oder internen Schnittstellen des Windows Biometric Frameworks.

Auch praktische Tests enthält die Untersuchung. So beobachteten die Autoren, dass schlecht durchgeführte Registrierungen – etwa mit Schal, Kapuze und Brille – die Wahrscheinlichkeit von Fehlidentifikationen erhöhen können. Außerdem gelang es ihnen, Gesichtsmasken erfolgreich zu registrieren und später mit derselben Maske in anderer Farbgebung erneut erkannt zu werden. Solche Ergebnisse betreffen nach Darstellung des BSI jedoch die konkrete Umsetzung der Gesichtserkennung und nicht die kryptografische Architektur von Windows Hello for Business.

Mit der Veröffentlichung beginnt das BSI seine angekündigte Reihe „Windows seziert“. In den kommenden Monaten sollen weitere Analysen, unter anderem zu Protected Process Light (PPL) und Control Flow Guard (CFG), folgen.


(fo)



Source link

Beliebt

Die mobile Version verlassen