28 августа специалисты из ElcomSoft заявили, что нашли способ извлекать из реестра Windows и расшифровывать пароли пользователей, если те пользуются сканером отпечатков пальцев UPEK. Это довольно популярный программно-аппартный комплекс, который является практически стандартом на рынке сканеров отпечатков пальцев. Такие системы поставляются в комплекте с предустановленным ПО на ноутбуках и десктопных компьютерах Acer, ASUS, Dell, Gateway, Lenovo, MSI, NEC, Samsung, Sony, Toshiba и многих других производителей.
Суть в том, что по умолчанию Windows не хранит пароли в реестре. Это возможно только в том случае, если пользовать активирует автоматический вход в Windows без ввода пароля. Специалисты по безопасности всегда говорили, что так делать нельзя.
В случае со сканером отпечатков пальцев, фактически, тоже активируется эта функция — автоматический вход в Windows. Как оказалось, программное обеспечение UPEK Protector Suite помещает пароль пользователя в реестр Windows практически открытым текстом.
К сожалению, компания ElcomSoft не опубликовала подробной информации об этой уязвимости, только уведомила о ней производителя. Однако, не все хакеры такие «ответственные». Два американских пентестера Адам Коудилл (Adam Caudill) и Брэндон Уилсон (Brandon Wilson) провели собственное исследование и выяснили, где конкретно хранятся пароли и как они зашифрованы. Найти их было несложно в реестре.
HKEY_LOCAL_MACHINE\SOFTWARE\Virtual Token\Passport\4.0\Passport\
Пароль хэшируется функцией MD5. Хотя производитель использует нормальный 256-битный ключ, но из-за экспортных ограничений умышленно заменяет часть хэша нулями, чтобы соответствовать ограничению AES-56, которое разрешено для экспорта из США. То есть на самом деле используется 56-битный ключ, который можно довольно легко подобрать.
Адам Коудилл и Брэндон Уилсон выложили proof-of-concept программу на github, которая делает всё необходимое и извлекает пароль из реестра. В ближайшее время обещают написать модуль для Metasploit.
