Tilbake i juli rapporterte vi at Microsoft hadde klart å fikse et stort sikkerhetssårbarhet som ville gjort det mulig for hackere å låse opp Windows RT-nettbrett og kjøre ikke-Windows-operativsystemer. I følge nylige rapporter ser det ut til at sikkerhetsoppdateringen ikke var så vellykket, og sårbarheten fremdeles kunne utnyttes.

Microsofts firmware inneholder en funksjon som heter Secure Boot som lar enheter bare starte opp operativsystemer kryptografisk signert av tech-giganten. Secure Boot-funksjonen blir aktivert under tidlig oppstart av Windows boot manager. Men det er en måte å deaktivere Secure Boot-sjekk ved å bruke en spesiell policy kjent som "den gyldne bakdørstasten". Hvis brukere klarer å få tak i denne policyen og installere den på enhetene sine, vil Windows boot manager starte opp hvilket operativsystem de ønsker.

Teknigiganten prøver desperat å løse dette sikkerhetsproblemet, men noen hackere sier at det er umulig for Microsoft å ugyldiggjøre de lekkede nøklene.

Uansett vil det i praksis være umulig for MS å tilbakekalle alle bootmgr tidligere enn et bestemt punkt, da de ville ødelegge installasjonsmedier, gjenopprettingspartisjoner, sikkerhetskopieringer, etc.

Denne store sårbarheten gjenoppretter også debatten rundt den sikre gyldne nøkkelfunksjonen startet av etterretningstjenester og sikkerhetstjenester. Lang historie kort, sikkerhetstjenester har lenge presset programvaregiganter til å implementere et sikkert gyldent nøkkelsystem som kan gi etterforskere full tilgang til brukermaskiner. Men slike universelle nøkler kan lett falle i gale hender, som etiske hackere advarer:

En bakdør, som MS satte inn for å sikre oppstart fordi de bestemte seg for å ikke la brukeren slå av den på visse enheter, gjør at sikker oppstart kan deaktiveres overalt! Du kan se ironien. Også ironien i at MS selv ga oss flere fine “gyldne nøkler” (som FBI vil si ???? for oss å bruke til det formålet ???? Om FBI: leser du dette? Hvis du er det, så Dette er et perfekt ekte verdenseksempel om hvorfor ideen din om å dørre bak kryptosystemer med en "sikker gylden nøkkel" er veldig dårlig. Du ser alvorlig ikke inn i det? Microsoft implementerte et "sikkert gyldent nøkkel" -system. Og de gylne tastene ble utgitt fra MS har egen dumhet. Hva skjer nå hvis du ber alle lage et "sikkert gyldent nøkkel" -system?

Foreløpig er Microsoft taus som alltid og har ennå ikke gitt noen kommentar om denne saken.

Hele rapporten som er publisert av de to hvite hat-hackerne som undersøkte dette sikkerhetsproblemet, er tilgjengelig online.