Хакеры потирают руки: утечка универсального «golden key»

Новость

Согласно источнику www.arstechnica.com, компания Microsoft раскрыла серьезную проблему внутри компании – безопасность. Произошло это через утечку универсального ключа «golden key», который открывает доступ к любому Windows-устройству, защищенному при помощи технологии безопасной загрузки Secure Boot. В конечном итоге, компания, по сути, создала своими же руками бэкдор в собственном ПО.

Давайте вернемся на пару шагов назад. Был создан механизм проверки подлинности загрузочного образа Secure Boot с целью предотвращения атак. Таким образом, ключ позволял обойти защитный механизм проверки подлинности Secure Boot. Отметим, что речь идет о ключе для отключения проверки в загрузчике, который не влияет на надежность работы прошивок UEFI. Обнаружили ключ специалисты по безопасности MY123 и Slipstream еще весной этого года.

Беда заключается в следующем. Microsoft не сможет отозвать все утекшие ключи, а это значит, что взламывать устройства могут не только спецслужбы в рамках уголовных дел, но и обычные хакеры. Для обычных пользователей – это, возможно, ничего значить не будет, они просто смогут использовать одновременно несколько операционных систем. Но для злоумышленников – это возможность обойти системы проверки загружаемых компонентов и внедрения руткитов.

С источника мы определили, что ситуация имела масштабный негативный характер. Это наглядный пример того, как ФБР требовало от Apple создать бэкдор в своих мобильных дивайсах, что могло бы привести к негативным последствиям.

Еще одним минусом данной проблемы является то, что загрузчик уже поставляется в установочных носителях, а вот отзыв связанного с ним ключа сможет повлечь за собой неработоспособность установочных разделов, образов для восстановления и резервных копий.

Это еще раз подтверждает, что закрыть «дыру» подобного рода будет ой как нелегко, ведь два выпущенных компанией обновления MS16-094 и MS16-100 связанные с Secure Boot всего лишь блокируют некоторые единичные случаи использования уязвимости.

Источник: arstechnica

 

Анастасия Лактионова