Microsoft's Secure Boot design flaw exposed by security researchers
2 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Microsoft представила функцію під назвою «Безпечне завантаження» з Windows 8. Ця функція в основному забороняла користувачам встановлювати операційні системи, які не підписані Microsoft — наприклад, якщо безпечне завантаження було ввімкнено на вашому пристрої Windows 10, ви не зможете щоб встановити на нього Linux. Окрім комп’ютерів з Windows, безпечне завантаження було також на пристроях Windows Phone та планшетах Windows. Проте є деякі пристрої, на яких користувач не може вимкнути безпечне завантаження, зокрема пристрої Windows RT, Windows Phone та HoloLens. Тепер дослідники безпеки Триматися впритул до що йде попереду машині та MY123 змогли обійти безпечне завантаження завдяки недоліку конструкції. Відповідно до до дослідників, Secure Boot містить «золотий ключ», який дозволяє користувачам вимкнути цю функцію на своєму пристрої. Золотий ключ, очевидно, витік власними силами Microsoft під час розробки Windows 10 версії 1607, і зараз компанія намагається це виправити.
У звіті зазначається, що Microsoft вже випустила два виправлення, щоб виправити проблему, але компанія не досягла успіху. Slipstream стверджує, що Microsoft може вирішити проблему, але це може спричинити ще більше проблем:
У будь-якому випадку, на практиці MS було б неможливо відмінити кожен bootmgr раніше певного моменту, оскільки вони порушили б інсталяційний носій, розділи відновлення, резервні копії тощо.
Slipstream також вказав ФБР на те, що цей тип золотих ключів насправді не є безпечним:
«Про ФБР: ви це читаєте? Якщо ви так, то це ідеальний приклад із реального світу про те, чому ваша ідея бекдору криптосистем за допомогою «безпечного золотого ключа» дуже погана! Розумніші за мене так довго тобі це говорять, здається, ти пальці у вухах. Ти серйозно досі не розумієш? Microsoft впровадила систему «безпечного золотого ключа». І золоті ключі звільнилися від власної дурості MS. Тепер, що станеться, якщо ви скажете всім створити систему «безпечного золотого ключика»? Сподіваюся, ви зможете додати 2+2…”
Ви можете переглянути повний звіт тут, де дослідники докладно описують недолік з додатковою інформацією.
