Błąd w projekcie bezpiecznego rozruchu firmy Microsoft ujawniony przez badaczy bezpieczeństwa
2 minuta. czytać
Opublikowany
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Firma Microsoft wprowadziła funkcję o nazwie „Bezpieczny rozruch” w systemie Windows 8. Ta funkcja zasadniczo uniemożliwiała użytkownikom instalowanie systemów operacyjnych, które nie są podpisane przez firmę Microsoft — na przykład, jeśli na urządzeniu z systemem Windows 10 włączono funkcję bezpiecznego rozruchu, nie będzie można zainstalować na nim Linuksa. Oprócz komputerów z systemem Windows Bezpieczny rozruch był również dostępny na urządzeniach z systemem Windows Phone i tabletach z systemem Windows. Istnieją jednak urządzenia, na których użytkownik nie może wyłączyć bezpiecznego rozruchu, w tym urządzenia z systemem Windows RT, Windows Phone i HoloLens. Teraz badacze bezpieczeństwa Slipstream i MY123 udało się ominąć Secure Boot dzięki błędowi projektowemu. Według badaczom, Secure Boot zawiera „złoty klucz”, który pozwala użytkownikom wyłączyć tę funkcję na swoim urządzeniu. Złoty klucz najwyraźniej wyciekł sam Microsoft podczas opracowywania Windows 10 w wersji 1607, a teraz firma próbuje to naprawić.
Raport stwierdza, że Microsoft wydał już dwie łatki naprawiające ten problem — jednak firma nie odniosła sukcesu. Slipstream twierdzi, że Microsoft może być w stanie rozwiązać ten problem, ale może to spowodować jeszcze więcej problemów:
Tak czy inaczej, w praktyce nie byłoby możliwe, aby MS odwołał każdy bootmgr wcześniej niż określony punkt, ponieważ uszkodziłoby to nośnik instalacyjny, partycje odzyskiwania, kopie zapasowe itp.
Slipstream zwrócił również uwagę FBI, że tego typu złote klucze nie są tak naprawdę bezpieczne:
„O FBI: czytasz to? Jeśli tak, to jest to doskonały przykład z prawdziwego świata, dlaczego twój pomysł na backdooring kryptosystemów za pomocą „bezpiecznego złotego klucza” jest bardzo zły! Mądrzejsi ludzie ode mnie opowiadali ci to od tak dawna, że wydaje ci się, że masz palce w uszach. Poważnie nadal nie rozumiesz? Microsoft wdrożył system „bezpiecznego złotego klucza”. I złote klucze zostały uwolnione od własnej głupoty MS. A teraz, co się stanie, jeśli powiesz wszystkim, aby stworzyli system „bezpiecznego złotego klucza”? Mam nadzieję, że możesz dodać 2+2…”
Możesz zobaczyć pełny raport tutaj, gdzie badacze szczegółowo opisują błąd, podając więcej informacji.