United States Computer Emergency Readiness Team (US-CERT)は12月5日(米国時間)、「Microsoft Releases Security Advisory for Windows Hello for Business|CISA」において、Windows 10 の2要素の資格情報「Windows Hello for Business (WHfB)」に脆弱性が存在すると伝えた。この脆弱性を悪用されると、影響を受けたデバイスの制御権が乗っ取られる危険性があるとされており注意が必要。

脆弱性の情報は次のページにまとまっている。

ADV190026 | Microsoft Guidance for cleaning up orphaned keys generated on vulnerable TPMs and used for Windows Hello for Business

ADV170012 | Vulnerability in TPM could allow Security Feature Bypass

脆弱性は重大度が緊急(Critital)と評価されており注意が必要。該当するデバイスを使用している場合は迅速に対処することが望まれる。

ADV170012 | Vulnerability in TPM could allow Security Feature Bypass - Security Updates

Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、推奨されている緩和策を適用することが望まれている。