Falha de design do Secure Boot da Microsoft exposta por pesquisadores de segurança
2 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
A Microsoft introduziu um recurso chamado “Secure Boot” com o Windows 8. O recurso basicamente impedia que os usuários instalassem sistemas operacionais que não fossem assinados pela Microsoft — por exemplo, se o Secure Boot estivesse ativado em seu dispositivo Windows 10, você não poderá para instalar o Linux nele. Além dos PCs com Windows, o Secure Boot também estava em dispositivos Windows Phone e tablets Windows. No entanto, existem alguns dispositivos em que o usuário não pode desabilitar a Inicialização Segura, incluindo dispositivos Windows RT, Windows Phone e HoloLens. Agora, pesquisadores de segurança Slipstream e MY123 conseguiram contornar o Secure Boot, graças a uma falha de design. De acordo com para os pesquisadores, o Secure Boot inclui uma “chave dourada” que permite aos usuários desativar o recurso em seus dispositivos. A chave de ouro aparentemente vazou pela própria Microsoft durante o desenvolvimento do Windows 10 Versão 1607, e agora a empresa está tentando consertá-la.
O relatório afirma que a Microsoft já lançou dois patches para corrigir o problema - no entanto, a empresa não teve sucesso. Slipstream afirma que a Microsoft pode corrigir o problema, mas isso pode causar ainda mais problemas:
De qualquer forma, seria impossível na prática para o MS revogar todos os bootmgrs antes de um certo ponto, pois eles quebrariam a mídia de instalação, partições de recuperação, backups, etc.
Slipstream também apontou para o FBI como esse tipo de chave de ouro não é realmente segura:
“Sobre o FBI: você está lendo isso? Se você é, então este é um exemplo perfeito do mundo real sobre por que sua ideia de criptosistemas de backdoor com uma “chave de ouro segura” é muito ruim! Pessoas mais espertas do que eu estão lhe dizendo isso há tanto tempo que parece que você está com os dedos nos ouvidos. Você seriamente não entende ainda? A Microsoft implementou um sistema de “chave dourada segura”. E as chaves de ouro foram liberadas da própria estupidez da MS. Agora, o que acontece se você disser a todos para fazer um sistema de “chave de ouro segura”? Espero que você possa adicionar 2+2…”
Você pode ver o relatório completo aqui, onde os pesquisadores detalham a falha com mais informações.