Windows Hello dễ bị phá chỉ với vài dòng lệnh: Làm sao để bảo vệ dữ liệu sinh trắc học?
Vẫn tồn tại lỗ hổng: Windows Hello có thể bị vượt mặt chỉ với vài dòng lệnh
Vào tháng 5, Microsoft đã bắt đầu thiết lập các tài khoản mới với trạng thái mặc định là "không mật khẩu", thay vì dùng mật khẩu truyền thống, hãng ưu tiên hơn cho các phương thức xác thực hiện đại như passkey hoặc Windows Hello. Tuy nhiên, hai nhà nghiên cứu bảo mật đến từ Đức, Tillmann Osswald và Tiến sĩ Baptiste David, đã trình bày tại hội nghị bảo mật nổi tiếng Black Hat (Las Vegas) rằng phiên bản Windows Hello – đặc biệt là phiên bản dành cho doanh nghiệp – có thể bị đánh lừa và bẻ khóa.
Cách thức tấn công: chèn dữ liệu sinh trắc học để mở khóa máy lạ
Trong một bài demo trực tiếp, David đã đăng nhập vào máy tính bằng khuôn mặt thật của mình. Sau đó, Osswald – trong vai trò kẻ tấn công với quyền quản trị viên cục bộ (local admin) – chỉ cần chạy vài dòng lệnh đơn giản để chèn dữ liệu quét khuôn mặt của chính anh ta (lấy từ một máy tính khác) vào cơ sở dữ liệu sinh trắc học của máy mục tiêu. Chỉ trong vài giây, anh ta đưa mặt lại gần camera và máy tính ngay lập tức mở khóa, chấp nhận khuôn mặt Osswald như thể đó chính là David
Lỗ hổng nằm ở đâu? Vấn đề với cách lưu trữ sinh trắc học cũ
Windows Hello trong môi trường doanh nghiệp hoạt động theo quy trình sau: khi thiết lập lần đầu, hệ thống tạo một cặp khóa công khai – khóa riêng tư, trong đó khóa công khai được đăng ký với nhà cung cấp ID của tổ chức (ví dụ như Entra ID). Dữ liệu sinh trắc học (khuôn mặt, vân tay...) được lưu trữ trong cơ sở dữ liệu do Windows Biometric Service (WBS) quản lý và được mã hóa. Khi xác thực, hệ thống sẽ so sánh dữ liệu quét mới với mẫu lưu trên máy
Tuy vậy, lớp mã hóa này lại không đủ mạnh để bảo vệ dữ liệu khỏi những kẻ đã có quyền quản trị viên. Chính điều này cho phép hacker có thể giải mã và thay thế dữ liệu sinh trắc học dễ dàng.
Giải pháp của Microsoft: Enhanced Sign-in Security (ESS) và những yêu cầu phần cứng khắt khe
Microsoft hiện đã phát triển giải pháp tăng cường bảo mật xác thực – Enhanced Sign-in Security (ESS) – nhằm cô lập toàn bộ quy trình sinh trắc học trong môi trường riêng biệt được bảo vệ bởi hypervisor (Virtualization‑Based Security). Tuy nhiên, ESS chỉ hoạt động hiệu quả nếu hệ thống đáp ứng những yêu cầu sau:
-
CPU 64-bit mới hỗ trợ virtual hóa phần cứng.
-
Có chip TPM 2.0.
-
Secure Boot được bật trong firmware.
-
Sensor sinh trắc phải đạt chuẩn chứng nhận đặc biệt
Microsoft hiện đã triển khai các yêu cầu này trên dòng Copilot PC mới, nhưng nhiều máy cũ hiện tại không đáp ứng đủ tiêu chuẩn
Thực trạng và khuyến nghị: người dùng cần chuyển sang mã PIN tạm thời
Nhóm nghiên cứu cho biết việc phát hành một bản vá toàn diện là “rất khó” hoặc có thể không khả thi nếu không thay đổi toàn bộ kiến trúc lưu trữ dữ liệu sinh trắc học trên các hệ thống không dùng ESS. Do đó, nếu bạn đang dùng Windows Hello trong môi trường doanh nghiệp mà máy không hỗ trợ ESS, nên tắt xác thực bằng sinh trắc học và chuyển sang dùng mã PIN – đây là sự lựa chọn an toàn hơn trong thời điểm hiện tại.
Kiểm tra hệ thống đã hỗ trợ ESS hay chưa?
Bạn có thể kiểm tra máy của mình đã bật ESS hay chưa bằng cách:
-
Vào Settings → Sign‑in options.
-
Tìm mục "Sign in with an external camera or fingerprint reader".
-
Nếu mục này được chọn (đang bật), thì ESS đang tắt – có nghĩa là máy cho phép dùng thiết bị sinh trắc ngoại vi, nhưng tính bảo mật đã yếu hơn.
-
Nếu mục này đang tắt (không chọn được) thì có nghĩa ESS đang hoạt động, và hệ thống xác thực được bảo vệ ở mức cao hơn.
-
Cuộc trình diễn tại Black Hat đã làm nổi bật một trong những lỗ hổng nguy hiểm trong hệ thống xác thực sinh trắc học của Windows Hello (dành cho môi trường doanh nghiệp). Khi kẻ tấn công đã chiếm quyền quản trị viên cục bộ, chỉ bằng vài câu lệnh họ có thể thay thế dữ liệu sinh trắc học để mở khóa máy bằng khuôn mặt hoàn toàn khác. Dù Microsoft đã cung cấp giải pháp ESS, nhưng để hưởng lợi, hệ thống cần phần cứng hỗ trợ đầy đủ – điều mà nhiều máy hiện tại chưa đáp ứng được. Do vậy tạm thời, dùng mã PIN vẫn là lựa chọn an toàn hơn.
