Bereits im Juli berichteten wir, dass es Microsoft gelungen war, eine große Sicherheitslücke zu schließen, durch die Hacker Windows RT-Tablets entsperren und Nicht-Windows-Betriebssysteme ausführen konnten. Jüngsten Berichten zufolge scheint der Sicherheitspatch nicht so erfolgreich zu sein, und die Sicherheitsanfälligkeit kann immer noch ausgenutzt werden.

Die Firmware von Microsoft enthält eine Funktion namens Secure Boot, mit der Geräte nur Betriebssysteme starten können, die vom Technologieriesen kryptografisch signiert wurden. Die Funktion "Sicherer Start" wird beim frühen Start vom Windows-Start-Manager aktiviert. Es gibt jedoch eine Möglichkeit, die Prüfung auf sicheren Systemstart mithilfe einer speziellen Richtlinie zu deaktivieren, die als "goldener Backdoor-Schlüssel" bezeichnet wird. Wenn Benutzer diese Richtlinie in den Griff bekommen und auf ihren Geräten installieren können, bootet der Windows-Boot-Manager jedes gewünschte Betriebssystem.

Der Technologieriese versucht verzweifelt, diese Sicherheitsanfälligkeit auszubessern, aber einige Hacker behaupten, Microsoft könne die durchgesickerten Schlüssel nicht für ungültig erklären.

In beiden Fällen wäre es in der Praxis für MS unmöglich, jeden Bootmanager vor einem bestimmten Zeitpunkt zu widerrufen, da Installationsmedien, Wiederherstellungspartitionen, Sicherungen usw. beschädigt würden.

Diese schwerwiegende Sicherheitsanfälligkeit belebt auch die Debatte um die von Nachrichtendiensten und Sicherheitsdiensten eingeleitete Funktion "Secure Golden Key". Kurz gesagt, Sicherheitsdienste haben Software-Giganten seit langem dazu gedrängt, ein sicheres Golden-Key-System zu implementieren, das Ermittlern vollen Zugriff auf Benutzercomputer gewähren könnte. Solche universellen Schlüssel können jedoch leicht in die falschen Hände geraten, wie ethische Hacker warnen:

Eine Hintertür, die MS für den sicheren Start verwendet hat, weil der Benutzer sie auf bestimmten Geräten nicht ausschalten wollte, ermöglicht das Deaktivieren des sicheren Starts überall! Sie können die Ironie sehen. Auch die Ironie in dieser MS selbst hat uns einige nette „goldene Schlüssel“ geliefert (wie das FBI sagen würde, damit wir sie für diesen Zweck verwenden). Über das FBI: Liest du das? Dies ist ein perfektes Beispiel aus der Praxis, warum Ihre Idee, Kryptosysteme mit einem "sicheren goldenen Schlüssel" zu backdooren, sehr schlecht ist. Sie verstehen es im Ernst noch nicht? Microsoft hat ein "sicherer goldener Schlüssel" -System implementiert. Und die goldenen Schlüssel wurden von freigegeben MS-eigene Dummheit: Was passiert nun, wenn Sie alle auffordern, ein „Secure Golden Key“ -System zu erstellen?

Microsoft schweigt vorerst wie immer und hat hierzu noch keinen Kommentar abgegeben.

Der gesamte Bericht der beiden White-Hat-Hacker, die diese Sicherheitsanfälligkeit untersucht haben, ist online verfügbar.