Hackeri tvrdia, že spoločnosť Microsoft nedokáže odvolať únikové politiky bezpečného spustenia

Video: UEFI Secure Boot in U-Boot - Grant Likely, Arm 2024

Video: UEFI Secure Boot in U-Boot - Grant Likely, Arm 2024
Anonim

V júli sme hlásili, že spoločnosti Microsoft sa podarilo napraviť hlavné bezpečnostné chyby, ktoré by hackerom umožnili odomknúť tablety Windows RT a spustiť operačné systémy mimo systému Windows. Podľa posledných správ sa zdá, že bezpečnostná oprava nebola tak úspešná, pričom túto zraniteľnosť je stále možné zneužiť.

Firmvér spoločnosti Microsoft obsahuje funkciu s názvom Secure Boot, ktorá umožňuje zariadeniam zavádzať iba operačné systémy kryptograficky podpísané technickým gigantom. Funkciu Secure Boot aktivuje počas skorého spustenia správca zavádzania systému Windows. Existuje však spôsob, ako zakázať kontrolu Secure Boot pomocou špeciálnej politiky známej ako „zlatý kľúč zadných dverí“. Ak sa používateľom podarí dostať sa do rúk tejto politiky a nainštalovať ju na svoje zariadenia, potom správca zavádzania systému Windows zavedie akýkoľvek požadovaný operačný systém.

Technický gigant sa zúfalo snaží túto chybu napraviť, ale niektorí hackeri tvrdia, že je nemožné, aby spoločnosť Microsoft znehodnotila uniknuté kľúče.

V každom prípade by v praxi nebolo možné, aby MS zrušilo každý bootmgr skôr ako v určitom okamihu, pretože by poškodilo inštalačné médium, obnovovacie oddiely, zálohy atď.

Táto veľká zraniteľnosť tiež oživuje diskusiu o zabezpečenej funkcii zlatého kľúča, ktorú začali spravodajské a bezpečnostné služby. Bezpochyby, bezpečnostné služby už dlho tlačili softvérových gigantov na implementáciu bezpečného systému zlatých kľúčov, ktorý by mohol vyšetrovateľom poskytnúť plný prístup k počítačom používateľov. Takéto univerzálne kľúče však môžu ľahko spadnúť do nesprávnych rúk, ako varujú etickí hackeri:

Zadné vrátka, ktoré MS zaviedla do zabezpečeného zavádzania systému, pretože sa rozhodli nenechať ho vypnúť v určitých zariadeniach, umožňujú zakázať zabezpečené spúšťanie všade! Môžete vidieť iróniu. Aj irónia v tom, že samotné členské štáty nám poskytli niekoľko pekných „zlatých kľúčov“ (ako by nám FBI povedala, že by sme ich mali používať na tento účel?) O FBI: čítate to? Ak áno, potom Toto je dokonalý príklad zo skutočného sveta o tom, prečo je vaša myšlienka kryptografických systémov so zadným krytom so „bezpečným zlatým kľúčom“ veľmi zlá! Stále to vážne nerozumiete? Spoločnosť Microsoft implementovala systém „bezpečného zlatého kľúča“. A zlaté kľúče boli prepustené z MS vlastná hlúposť. Čo sa stane, keď poviete všetkým, aby vytvorili systém „bezpečného zlatého kľúča“?

Spoločnosť Microsoft zatiaľ mlčí ako vždy a k tejto záležitosti zatiaľ nemá komentár.

Celá správa uverejnená dvoma hackermi v oblasti bielych klobúkov, ktorí túto zraniteľnosť preskúmali, je k dispozícii online.

Hackeri tvrdia, že spoločnosť Microsoft nedokáže odvolať únikové politiky bezpečného spustenia