Обнаружена уязвимость в системе аутентификации по отпечаткам пальцев

0-day yazvimostНезависимые ИТ-консультанты обнаружили серьезную уязвимость, из-за которой хакеры среднего и высшего уровня могут получить доступ к Windows-паролям на компьютерах 16 производителей. Уязвимость была обнаружена в нескольких версиях программного обеспечения UPEK Protector Suite для считывания отпечатков пальцев и последующей авторизации на машине.

В июле этого года компания Apple заплатила $356 млн. за покупку Authentec, разработчика технологии UPEK. Обнаруженная уязвимость впервые была детектирована в сентябре, но Apple по-прежнему заявляет, что еще работает над исправлением для бага. Кроме того, технологией UPEK по ранее достигнутым соглашениям начали пользоваться и многие другие производители, которые также оказываются под ударом.

Приложение UPEK долгое время считалось безопасным и позволяло проводить аутентификацию в операционной системе при помощи отпечатков пальцев пользователя. В прошлом месяце российская компания Elcomsoft, специализирующаяся на технологиях взлома паролей, предупредила о недостаточной безопасности данной программы, так как она хранит пароли для пользовательских аккаунтов в системном реестре Windows и защищает их при помощи ключа, который довольно легко взломать. В итоге, всего за несколько секунд у потенциального взломщика есть возможность вскрыть реальный пароль.

Пароли со слабым алгоритмом шифрования хранятся в ветке реестра

  • HKEY_LOCAL_MACHINE\Software\Virtual Token\Passport\


Недавно в интернете появилось открытое программное обеспечение для взлома UPEK-паролей без каких-либо манипуляций. Технически, для этого необходимо иметь доступ к реестру, однако при наличии физического доступа к машине, его не сложно получить.

Все версии приложений UPEK Protector Suite используют ту же систему и подвержены угрозе. В качестве временного решения проблемы эксперты предлагают отказаться от использования UPEK до выхода исправления. На сегодня 16 крупнейших компании, таких как Asus, Dell и т.д. применяют систему UPEK.


Обновлено (11.10.2012 04:54)