Giờ đây, hai nhà nghiên cứu Tillmann Osswald và Tiến sĩ Baptiste David từ Đức đã tiết lộ tại hội nghị bảo mật Black Hat ở Las Vegas rằng phiên bản Windows Hello, quan trọng hơn, là bản dành cho doanh nghiệp, hoàn toàn có thể bị bẻ khóa.
Trong phần trình diễn trực tiếp, David đăng nhập máy của mình bằng khuôn mặt thật. Sau đó, Osswald – đóng vai kẻ tấn công có quyền quản trị viên (local admin) – chỉ cần chạy vài dòng lệnh rồi chèn dữ liệu quét khuôn mặt của chính mình (lấy từ một máy tính khác) vào cơ sở dữ liệu sinh trắc học của máy mục tiêu. Chỉ vài giây sau, anh ta ghé mặt vào và chiếc máy lập tức mở khóa, nhận khuôn mặt của Osswald như thể đó là David.
Để hiểu cách tấn công này, cần nhìn vào cách Windows Hello hoạt động trong môi trường doanh nghiệp. Khi thiết lập lần đầu, hệ thống sẽ tạo một cặp khóa công khai/riêng tư, với khóa công khai được đăng ký lên nhà cung cấp ID của tổ chức (ví dụ Entra ID). Dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu do Windows Biometric Service (WBS) quản lý, cơ sở dữ liệu này có mã hóa. Khi xác thực, hệ thống so sánh ảnh quét mới với mẫu lưu sẵn.
Vấn đề nằm ở chỗ: trong một số trường hợp, lớp mã hóa này không thể ngăn kẻ tấn công đã có quyền quản trị viên cục bộ, khiến họ có thể giải mã dữ liệu sinh trắc học.
Microsoft có giải pháp tên Enhanced Sign-in Security (ESS) – cô lập toàn bộ quy trình xác thực sinh trắc trong môi trường an toàn được quản lý bởi hypervisor của hệ thống.
Nhưng ESS đòi hỏi phần cứng rất cụ thể: CPU 64-bit đời mới hỗ trợ ảo hóa phần cứng (do ESS dựa trên Virtualization-Based Security), chip TPM 2.0, Secure Boot bật trong firmware, và cảm biến sinh trắc đạt chứng nhận đặc biệt. Microsoft hiện bắt buộc cấu hình này cho dòng Copilot+ PC mới, nhưng như Osswald lưu ý, nhiều máy hiện tại không đạt chuẩn.
ESS chặn được kiểu tấn công này, nhưng không phải ai cũng dùng được. Ví dụ, nhóm nghiên cứu đã mua laptop ThinkPad cách đây khoảng 1,5 năm, nhưng camera không có cảm biến bảo mật vì dùng chip AMD thay vì Intel.
Tillmann Osswald (phải) và Baptiste David có khuôn mặt hoàn toàn khác nhau.
Theo Osswald và David, việc tung ra một bản vá triệt để gần như "rất khó" hoặc không thể nếu không đại tu toàn bộ kiến trúc lưu trữ dữ liệu sinh trắc của các hệ thống không dùng ESS. Vì vậy, nếu bạn đang dùng Windows Hello trên máy doanh nghiệp mà không có ESS, họ khuyến nghị nên tắt xác thực sinh trắc và dùng mã PIN thay thế.
Để kiểm tra máy có hỗ trợ ESS hay không, vào System Settings, chọn Sign-in options trong tài khoản, nếu thấy "Sign in with an external camera or fingerprint reader" (Đăng nhập bằng camera hoặc đầu đọc vân tay ngoài) và nó đang tắt, ESS đang được kích hoạt (USB vân tay ngoài sẽ không dùng được để đăng nhập). Nếu bật lên, ESS sẽ tắt và cho phép dùng thiết bị ngoại vi – nhưng đánh đổi là giảm bảo mật.
Microsoft cho biết một số thiết bị "tương thích Windows Hello" có thể kích hoạt ESS, nhưng nếu muốn dùng, nên cắm ngay từ lần khởi động đầu tiên và không rút ra. Hỗ trợ đầy đủ cho thiết bị ngoài với ESS dự kiến phải đến cuối năm 2025 mới có.
Tuấn Nguyễn