(TW/London) Michael Grafnetter är it-säkerhetsforskare från Tjeckien och arbetar till vardags på säkerhetsföretaget Cqure. Grafnetter har upptäckt ett fel i Windows Hello for Business som han inte vill kalla en sårbarhet i vanlig mening, men som ändå kan få allvarliga konsekvenser. Han presenterar sina fynd under it-säkerhetskonferensen Black Hat Europe, men Techworld fick en exklusiv pratstund med Grafnetter dagen innan hans presentation och kan avslöja felet.
Windows Hello for Business är ett stort steg framåt vad gäller säkerheten på företag eftersom det omintetgör problematiken kring lösenord. Windows Hello for Business är ett tillägg till Active Directory, AD. Enligt Microsoft själva har 60–70 procent av alla säkerhetsincidenter i AD att göra med stulna lösenord. Med Windows Hello for Business kan organisationens användare logga in i sina datorer och på domänen utan att använda lösenord. Istället används tvåfaktorsautentisering av olika slag, till exempel med pin-koder, inloggningskod via sms eller hårdvarunycklar.
Enkelt att åtgärda med verktyget
Michael Grafnetter upptäckte felet i Windows Hello for Business helt enkelt genom att studera dokumentationen, men inte dokumentationen för systemadministratörer utan för utvecklare. Felet är enkelt att åtgärda med hjälp av det verktyg Michael Grafnetter själv utvecklat.
Enligt Grafnetter har Microsoft verifierat felen och ska idag att släppa en uppdaterad version av dokumentationen samt en rådgivande artikel (security advisory) som beskriver felet och hur man som systemadministratör kan upptäcka om man är sårbar för felen och hur man kan åtgärda felen med genom konfigurationen i AD.
Hur allvarliga är de fel du upptäckt?
– Det är svårt att säga på rak arm för det beror på hur kundens system är konfigurerat och på vilken version av Windows Server man använder. Men det handlar egentligen om fyra attackvektorer som alla i grunden beror på Roca-sårbarheten i tpm-chip från Infineon som upptäcktes 2017, säger Michael Grafnetter.
Roca står för Return of Coppersmith's attack och är en sårbarhet (CVE-2017-15361) i tpm-chip som levererades av Infineon och som innebär att det är relativt enkelt att återskapa en privat nyckel från en publik nyckel i de PKI-nyckelpar som genereras med hjälp av detta chip. Dessa tpm-chip levererades och monterades i massor av olika enheter från laptops till mobiler. Det finns en uppdatering som gör att man kan generera nya säkra nycklar, men enligt Grafnetter finns det många gamla nyckelpar kvar. Det finns även verktyg som kan extrahera dessa nycklar från AD-servrar för att sedan analysera dem.
Felen i Windows Hello for Business beror alltså på Roca-buggen och egentligen inte på en sårbarhet i Windows Hello for Business i sig. Men enligt Grafnetter finns det många företag som fortfarande är sårbara och det gäller speciellt stora företag som fortfarande har kvar de svaga nycklarna i sina AD-servrar och det finns fortfarande gott om enheter kvar i användning som inte uppdaterats.
– Vad det här felet handlar bottnar i hur tpm-chip används tillsammans med AD:t. Tpm-chippen autentiserar sig mot AD och skapar en unik koppling mellan tpm-chip och AD:t, och sedan öppnas tpm-chippet i sin tur av användaren genom en biometrisk manöver som fingeravtryck eller ansiktsigenkänning, eller med en pin-kod. Detta parar enheten med AD:t, förklarar Michael Grafnetter.
Hänger på att man kan lura biometrin
– Om nu datorn blir stulen och användaren anmäler detta till systemadministratörerna kommer de att ta bort enheten ur AD:t. Felet i Windows Hello for Business är att binära objekt ändå finns kvar i AD:t, som är i princip omöjliga att upptäcka, och som innebär att enheten fortfarande är associerad i AD:t och enheten kan fortfarande användas för att logga in i AD. Det hänger dock på att biometrin kan luras, säger Michael Grafnetter.
Ok, men är det inte svårt att komma förbi de biometriska skydden?
– Tyvärr inte. Dels är de biometriska sensorerna på några år gamla enheter ganska dåliga, speciellt fingeravtrycksläsarna, dels kan tpm-chip låsas upp med en pin-kod, och gissa vilken som är den vanligaste koden?
1234?
– Precis. Problemet är också att det finns ingen dokumentation om detta från Microsoft, men det går att ta bort dessa spår från borttagna enheter manuellt, och de verktyg jag skapat kan hitta dessa spår och ta bort dem. Det är egentligen ganska enkelt att försvara sig mot detta, men man behöver de rätta verktygen, säger Michael Grafnetter.
Har Microsoft uttryckt några invändningar mot detta eller mot dina verktyg?
– Nej, de har inga invändningar, tvärtom, och de kan inte ha några invändningar heller; jag lägger upp mina verktyg på Github i morgon onsdag och sen kande säga vad de vill. Det är ju bara vanliga Powershell-komponenter.
Känner du till om dessa fel har utnyttjats i kriminellt syfte i verkligheten?
– Nej, inte vad jag vet. Jag känner bara till ett enda företag där man är medvetna om felet och har åtgärdat det, men jag kan inte avslöja vilket företag det är, och enda orsaken till att de känner till felet är att en av administratörerna tidigare jobbade på Microsoft med just Windows Hello for Business. Det tog mig flera månader av undersökningar, så det är ju inte konstigt att ingen känner till dessa fel, inga hackare heller, säger Michael Grafnetter.
Finns det inte en risk med att du avslöjar detta fel, trots att inga hackare känner till det, samtidigt som det kan dröja innan det kommer en patch från Microsoft? Det öppnas ju ett fönster av möjligheter för de kriminella hackarna?
– Det finns en risk, men Roca finns där redan, hackare hade hitta detta förr eller senare, och då är det bättre att vi pekar på detta och får felen åtgärdade. Det kan ju också vara så att kriminella hackare redan stött på det här felet, men jag känner inte till det. Microsoft kommer att släppa en Security Advisory, förmodligen strax efter min presentation, men det kommer förmodligen att dröja innan de kommer med en patch. Felet går in i flera Microsoft-produkter som AD, Azure med flera, och det är en komplex process att skapa en patch för det här felet.
Vad skulle du sätta för allvarlighetsnivå på det du hittat?
– Kombinationen av Roca och spåren av borttagna enheter i AD är kritisk, men jag skulle tro att kanske en procent, eller knappt det, av Microsofts kunder berörs. Enbart de kvarlämnade spåren skulle jag bedöma som medium. Detta drabbar framför allt de som hakade på Windows Hello for Business tidigt, före 2017, och det gäller fram till och med dagens Server 2019. Men de med äldre än Server 2016 är inte sårbara, säger Michael Grafnetter.
Vad tycker du att AD-systemadministratörer ska göra?
– Hämta mina verktyg och gör en check, kolla din miljö för säkerhets skull. Ser det bra ut är du okej. Om inte, följ Microsofts rådgivning.
Michael Grafnetters verktyg och information finns här.
Microsofts Security Advisory finns här:
Läs också:
Hejdå till lösenord på företaget – så funkar Windows Hello for Business
Nu kan du köra Kali Linux i ”undercover mode” – ser ut som Windows
