Mange Windows-basere enheter, inkludert pc-er, nettbrett og smartmobiler, er utstyrt sikkerhetsteknologien Secure Boot som en del av UEFI-fastvaren. Det Secure Boot først og fremst gjør, er å sikre at bare programvare som er signert med et godkjent sertifikat, kan kjøres under oppstarten av enheten.
Dette skal kunne bidra til hindre at skadevare startes allerede før operativsystemet lastes.
Mens det for brukerne er mulig å skru av Secure Boot på mange pc-er, er dette ikke tilfellet på de fleste andre typer enheter.
Men i forbindelse med utviklingen av Windows 10 Anniversary Update (Version 1607) skal Microsoft ha gjort en mindre endring i hvordan Secure Boot fungerer. Og denne endringen skal ha åpnet for utilsiktede konsekvenser. Dette skriver to sikkerhetsspesialister, som bare kaller seg for henholdsvis my123 og slipstream, på denne siden.
- Leste du denne? Innfører strengere driverkrav i Windows 10
Policyer
Sammen med Secure Boot-systemet finnes det Secure Boot-policyer. Ifølge The Register, som først omtaler saken, blir disse tidlig lastet under oppstarten og må overholdes av Windows' bootmanager. For å bli akseptert, må policyene være kryptografisk signert av Microsoft og være installert på enhetene ved hjelp av et Microsoft-signert verktøy.
Det som nå skal ha skjedd, er at Microsoft har lagt en ny og signert policy som deaktiverer operativsystemet signatursjekking. Det antas at dette er gjort for å gi utviklere mulighet til starte og teste helt nye operativsystem-utgaver uten å måtte signere hver eneste.
Men dersom denne spesielle policyen installeres i fastvaren til maskinen, vil ikke bootmanageren til Windows sjekke om den laster et Microsoft-signert operativsystem. I stedet vil den starte opp alle binærfiler som er kryptografisk signerte. Dette inkluderer også selvsignerte filer. Ifølge The Register kan dette for eksempel være et mellomliggende løsning som laster en Linux-kjerne.
I praksis utgjør dette en universalnøkkel, som utgjør en effektiv bakdør til Secure Boot.
Universalnøkkel og bakdør
Sikkerhetsforskerne skriver:
You can see how this is very bad!! A backdoor, which MS put
in to secure boot because they decided to not let the user turn it off in
certain devices, allows for secure boot to be disabled everywhere!
You can see the irony. Also the irony in that MS themselves provided us several
nice "golden keys" (as the FBI would say ;) for us to use for that purpose :)
About the FBI: are you reading this? If you are, then this is a perfect real
world example about why your idea of backdooring cryptosystems with a "secure
golden key" is very bad! Smarter people than me have been telling this to you
for so long, it seems you have your fingers in your ears. You seriously don't
understand still? Microsoft implemented a "secure golden key" system. And the
golden keys got released from MS own stupidity. Now, what happens if you tell
everyone to make a "secure golden key" system? Hopefully you can add 2+2...
Les også: Fransk krav om «bakdør» til smartmobiler
Microsofts tiltak
Ifølge The Register skal sikkerhetsforskerne ha varslet Microsoft allerede i mars om at de hadde funnet en debugmodus-policy som ved en feil var blitt inkludert på enheter solgt gjennom forhandlere.
I utgangspunktet er policyen ment som en supplerende policy som skal slås sammen med andre policyer. Men dersom den brukes som den primære policyen kan den altså brukes til å skru av signatursjekkingen.
Et første forsøk fra Microsoft på å utbedre skaden, kom i juli. Dette skal ha forsøkt å tilbakekalle gyldigheten til den spesielle Secure Boot-policyen, men skal av ulike årsaker ikke ha lykkes så godt med det. Derimot skal den kunne hindre at policyen installeres.
Denne uken kom Microsoft med ytterligere en oppdatering i et nytt forsøk på å stramme inn, og ytterligere en sikkerhetsfiks kan ventes i september.
Kan fortsatt være mulig
The Register viser til et skript som skal gjøre det mulig å installere den aktuelle policyen på et ARM-basert Windows RT-brett. Dette forutsetter dog at juli-oppdateringen ikke er installert.
Fordi Surface RT-produktene ikke ble noen stor suksess, har Microsoft sluttet å videreutvikle programvaren. Men de kan være godt egnet til å kjøre annen programvare enn Windows RT, dersom brukerne får muligheten til å installere dette.
The Register skriver at et tilsvarende verktøy for i installere Secure Boot-policyer finnes for Windows Phone.
En slik policy kan selvfølgelig åpne for at skadevare får økt tilgang til å gjøre skade på systemet, altså nettopp det Secure Boot i utgangspunktet skal hindre.
