Microsoft Secure Boot, online la Golden Key: la vulnerabilità è servita

11-08-2016 11:53 - Fonte: www.chimerarevo.com

Quando c’è di mezzo il debugging ed il testing anche i meccanismi software di sicurezza basati su chiavi ed algoritmi potrebbero avere il loro “da fare”. In particolare ciò è successo per Microsoft Secure Boot, il meccanismo di sicurezza implementato in UEFI che impedisce l’installazione di sistemi operativi e software a basso livello sui sistemi dotati di Windows 8 e superiori – Windows Phone e Windows RT inclusi – senza che questi siano firmati con una chiave Microsoft. Se ciò sulla carta aveva fini di sicurezza – in tal modo non è possibile installare bootkit e rootkit sul sistema -, di fatto ha impedito l’installazione di Android (o altri sistemi operativi) su dispositivi come i Surface RT, Surface 2, Surface 3 e terminali Windows Phone, poiché per politica aziendale Secure Boot non è disattivabile sui device ARM. Tuttavia Microsoft, per fini di debugging, ha lasciato aperta una “porticina” che permettesse a sviluppatori e debugger di installare a basso livello software non firmato a fini di testing: questa “porticina” prende il nome di Golden Key, è stata scoperta da due ricercatori di sicurezza e, siccome è sfruttabile da chiunque abbia un minimo di competenza, è stata segnalata come vulnerabilità. Vulnerabilità a cui Microsoft ha tentato di porre rimedio con il recentissimo Patch Tuesday di agosto; tuttavia la soluzione, secondo gli esperti, non è efficace abbastanza. Microsoft, arriva il Patch Tuesday di agosto 2016 In realtà potrebbe non esserci una soluzione a questa vulnerabilità, che rischia di rimanere aperta per sempre. Ad aggravare ancor di più il tutto è la recentissima pubblicazione online della Golden Key: ciò significa, in pratica, che chiunque abbia dimestichezza è in grado di disattivare Secure Boot anche su dispositivi ove non è permesso. Ciò significa due cose: la prima è che i criminali informatici potrebbero implementare ...

- Continua...