A luglio, abbiamo riferito che Microsoft era riuscita a risolvere una grave vulnerabilità della sicurezza che avrebbe consentito agli hacker di sbloccare i tablet Windows RT ed eseguire sistemi operativi non Windows. Secondo recenti rapporti, sembra che la patch di sicurezza non sia andata a buon fine, con la vulnerabilità ancora in grado di essere sfruttata.

Il firmware di Microsoft incorpora una funzionalità chiamata Secure Boot che consente ai dispositivi di avviare solo sistemi operativi crittografati con firma crittografica dal colosso tecnologico. La funzione Avvio protetto viene attivata all'avvio anticipato dal gestore di avvio di Windows. Ma esiste un modo per disabilitare il controllo di avvio sicuro utilizzando una politica speciale nota come "chiave backdoor dorata". Se gli utenti riescono a mettere le mani su questo criterio e installarlo sui propri dispositivi, il boot manager di Windows avvierà qualsiasi sistema operativo desiderato.

Il gigante della tecnologia sta disperatamente cercando di correggere questa vulnerabilità, ma alcuni hacker affermano che è impossibile per Microsoft invalidare le chiavi trapelate.

Ad ogni modo, in pratica sarebbe impossibile per MS revocare ogni bootmgr prima di un certo punto, poiché spezzerebbero i supporti di installazione, le partizioni di ripristino, i backup, ecc.

Questa grave vulnerabilità ravviva anche il dibattito sulla caratteristica chiave d'oro sicura avviata dai servizi di intelligence e di sicurezza. Per farla breve, i servizi di sicurezza hanno spinto da tempo i giganti del software a implementare un sistema sicuro di chiavi d'oro che potrebbe garantire agli investigatori il pieno accesso ai computer degli utenti. Ma tali chiavi universali possono facilmente cadere nelle mani sbagliate, come avvertono gli hacker etici:

Una backdoor, che MS ha messo in sicurezza per l'avvio perché ha deciso di non consentire all'utente di spegnerlo in alcuni dispositivi, consente di disabilitare l'avvio sicuro ovunque! Puoi vedere l'ironia. Anche l'ironia in quella stessa SM ci ha fornito diverse belle "chiavi d'oro" (come direbbe l'FBI ???? da usare a tale scopo ???? A proposito dell'FBI: stai leggendo questo? Se lo sei, allora questo è un perfetto esempio del mondo reale sul perché la tua idea di backdoor di cryptosystems con una "chiave d'oro sicura" è pessima! Davvero non capisci ancora? Microsoft ha implementato un sistema "chiave d'oro sicura". E le chiavi d'oro sono state rilasciate da La scia di stupidità della SM: ora, cosa succede se dici a tutti di creare un sistema di "chiave d'oro sicura"?

Per il momento, Microsoft è silenziosa come sempre e non ha ancora rilasciato alcun commento in merito.

L'intero rapporto pubblicato dai due hacker di cappello bianco che hanno indagato su questa vulnerabilità è disponibile online.