In juli meldden we dat Microsoft erin was geslaagd een groot beveiligingsprobleem op te lossen waardoor hackers Windows RT-tablets konden ontgrendelen en niet-Windows-besturingssystemen konden uitvoeren. Volgens recente rapporten bleek de beveiligingspatch niet zo succesvol te zijn en kon het beveiligingslek nog steeds worden misbruikt.

De firmware van Microsoft bevat een functie genaamd Secure Boot waarmee apparaten alleen besturingssystemen kunnen opstarten die cryptografisch zijn ondertekend door de tech gigant. De functie Secure Boot wordt geactiveerd tijdens het vroeg opstarten door de Windows bootmanager. Maar er is een manier om Secure Boot-controle uit te schakelen met behulp van een speciaal beleid dat bekend staat als "de gouden achterdeur-sleutel". Als gebruikers erin slagen dit beleid in handen te krijgen en op hun apparaten te installeren, start Windows Boot Manager elk besturingssysteem op dat ze willen.

De tech-gigant probeert wanhopig dit beveiligingslek te verhelpen, maar sommige hackers zeggen dat het onmogelijk is voor Microsoft om de gelekte sleutels ongeldig te maken.

Hoe dan ook, het zou in de praktijk voor MS onmogelijk zijn om elke bootmgr eerder dan een bepaald punt in te trekken, omdat ze installatiemedia, herstelpartities, back-ups, enz. Zouden breken.

Deze grote kwetsbaarheid herleeft ook het debat over de veilige gouden sleutelfunctie die door inlichtingen- en beveiligingsdiensten is gestart. Om een ​​lang verhaal kort te maken: beveiligingsservices hebben softwarereuzen lang gepusht om een ​​veilig gouden sleutelsysteem te implementeren dat onderzoekers volledige toegang tot gebruikerscomputers zou kunnen geven. Maar dergelijke universele sleutels kunnen gemakkelijk in verkeerde handen vallen, zoals ethische hackers waarschuwen:

Een achterdeur, die MS aanbracht om op te starten omdat ze besloten de gebruiker het niet op bepaalde apparaten uit te laten schakelen, zorgt ervoor dat veilig opstarten overal kan worden uitgeschakeld! Je kunt de ironie zien. Ook de ironie in die MS zelf voorzag ons in verschillende mooie "gouden sleutels" (zoals de FBI zou zeggen ???? voor ons om dat doel te gebruiken ???? Over de FBI: lees je dit? Als je dat bent, dan dit is een perfect voorbeeld uit de echte wereld over waarom jouw idee van backdooring cryptosystemen met een "veilige gouden sleutel" erg slecht is! Je begrijpt het nog steeds niet echt? Microsoft heeft een "veilige gouden sleutel" -systeem geïmplementeerd. En de gouden sleutels zijn vrijgegeven van MS heeft eigen domheid. Wat gebeurt er als je tegen iedereen zegt dat ze een 'veilige gouden sleutel'-systeem moeten maken?

Vooralsnog zwijgt Microsoft zoals altijd en moet nog enige opmerking hierover maken.

Het hele rapport dat is gepubliceerd door de twee white hat-hackers die dit beveiligingslek hebben onderzocht, is online beschikbaar.