16.01.18 Бекдор для Windows, або як Microsoft випадково втратила свій «золотий ключик» | |
Ретельний аналіз інструментарію показав, що містимий в ньому ключ дозволяє обійти захисний механізм перевірки автентичності завантажувального образу Secure Boot. Як ми вже відзначали раніше, цей механізм був створений з метою запобігання атак певного типу, коли шкідливе ПЗ завантажується в пам'ять системи ще до завантаження операційної системи. Ключ був виявлений фахівцями з безпеки MY123 і Slipstream в березні цього року. Важливо відзначити, що в даному випадку мова йде не про закриті ключі, що мають відношення до інфраструктури PKI, яка використовується для створення електронних підписів до виконуваних файлів, а про ключі для відключення перевірки в засобі завантаження, що не впливає на надійність роботи прошивок UEFI. По суті, це універсальний бекдор, навіщо він Microsoft - питання відкрите. Для користувачів, помисли яких чисті, це можливість використовувати кілька операційних систем одночасно або просто користуватися системою, відмінною від Windows, а для зловмисників - двері для обходу системи перевірки завантажуваних компонентів і впровадження руткітів. Найгірше те, що знищити цей ключ, якщо вірити дослідникам, неможливо. За словами дослідників, ця плутанина, по суті, є наочною демонстрацією того, що ФБР, вимагаючи від Apple створити бекдор в своїх мобільних пристроях, не усвідомлювала серйозності всієї ситуації. Про свою знахідку дослідники розповіли Microsoft практично відразу. Через деякий час компанія випустила два поновлення ( MS16-094 і MS16-100), пов'язані з Secure Boot, які лише блокували деякі поодинокі випадки використання уразливості, але не закрили «дірку» повністю. Ускладнює вирішення цієї проблеми то, що завантажувач вже поставляється в носіях, а відгук пов'язаного з ним ключа спричинить за собою непрацездатність встановних образів, розділів для відновлення і резервних копій. В офіційному коментарі джерела представник Microsoft запевнив, що описаний дослідникам метод злому неможливо застосувати для настільних систем і корпоративного парку комп'ютерів, оскільки він вимагає фізичного доступу і прав адміністратора на ARM- і RT-пристроях і не дозволяє обійти шифрування. Джерело: arstechnica | |
|
Всього коментарів: 0 | |