Windows Hello新漏洞披露，黑客可远程“换脸”登录用户设备

IT之家 9 月 5 日消息，科技媒体 Notebook Check 今天（9 月 5 日）发布博文，报道称在 2025 年黑帽大会上，德国安全公司 ERNW 披露了高危漏洞“Faceplant”，表明微软 Windows Hello for Business 存在漏洞。

该漏洞允许攻击者通过三个步骤实现权限绕过：首先在任意计算机注册面部生成生物特征模板，随后解密提取该模板，最终将其注入目标设备的受害者生物特征数据库。完成注入后，攻击者可直接使用自己的面部识别登录受害者账户。

与此前 7 月披露的“Face Swap”漏洞相比，新攻击存在本质差异。早期漏洞要求攻击者必须在同一设备已注册的两个用户账户间交换标识符，而“Faceplant”直接操纵模板本身，且支持跨设备模板生成，显著降低了攻击门槛。研究人员强调，这种模板注入方式，让攻击不再受物理设备限制，极大扩展了潜在攻击范围。

IT之家援引博文介绍，生物特征模板是计算机在用户注册面部或指纹时生成的数字化特征表示，通常以加密形式存储。

ERNW 发现攻击者可利用管理员权限解密这些模板，并通过修改注册表键值实现模板注入。整个攻击过程无需物理接触目标设备，但需要获取管理员权限，这意味着企业内网已存在权限泄露的设备面临最高风险。

微软已收到该漏洞的详细技术报告，目前尚未发布官方补丁。企业用户建议采取临时防护措施，包括限制管理员权限分配、启用多因素认证，以及监控生物特征数据库的异常修改记录。研究人员同时提醒，该漏洞不影响 Windows Hello 的家庭用户版本，主要针对域环境下的企业版系统。