Source: Black Hat USA (présentation ERNW). Contexte: étude financée par le BSI allemand (2024–2026) visant à disséquer des composants de sécurité Windows, dont Windows Hello for Business (WHfB) et le Windows Biometric Service (WBS).

Les chercheurs détaillent l’architecture de WHfB, l’initialisation et les pipelines du Windows Biometric Service, ainsi que le mode Enhanced Sign-in Security (ESS) impliquant VBS/VTL et l’isolement (BioIso.exe). Ils décrivent les flux d’authentification biométrique, l’intégration LSASS/TPM, et la gestion des unités biométriques (capteur/engine/storage).

La partie centrale porte sur le format de la base biométrique (« Lock Box »). Le header chiffré assure l’intégrité via SHA-256 et contient la clé AES servant à chiffrer les gabarits. Cette protection repose sur CryptProtectData/CryptUnprotectData (DPAPI) avec des clés gérées localement par NT AUTHORITY\SYSTEM. Conclusion clé: un administrateur local peut déchiffrer le header, extraire la clé, lire et modifier les enregistrements, contournant les contrôles d’intégrité.

Impact démontré: un admin local peut 1) lire/décrypter les gabarits biométriques, 2) échanger des SIDs associés aux enregistrements, 3) injecter ses propres biométries (« bring your own biometrics »), 4) s’authentifier comme tout utilisateur inscrit. Une démonstration de déchiffrement du header a été présentée.

Les auteurs notent que ESS requiert du matériel compatible et VBS, encore trop peu déployés; certaines plates-formes (ex. ThinkPads AMD mentionnées) ne disposent pas du support ESS. Ils concluent par des pistes opérationnelles (un utilisateur par poste, éventuellement PIN-only, et monitoring des accès/modifications de la base). Il s’agit d’une publication de recherche présentée en conférence, visant à documenter l’architecture et à mettre en évidence des faiblesses de sécurité locales.

TTPs observées:

  • Abus de privilèges d’admin local pour utiliser DPAPI (CryptUnprotectData) et déchiffrer le header « Lock Box ».
  • Extraction de la clé AES du header protégé et déchiffrement des gabarits.
  • Altération de la base biométrique: modification d’enregistrements, permutation de SIDs, injection de gabarits.

IOCs: aucun indiqué.

🔗 Source originale : https://www.blackhat.com/us-25/briefings/schedule/index.html#windows-hell-no-for-business-45865