Microsoft lækker universalnøgle til Secure Boot ved en fejl

16 kommentarer.  Hop til debatten
Microsoft lækker universalnøgle til Secure Boot ved en fejl
Illustration: Microsoft.
Lækket universalnøgle lader brugere installere nyt styresystem på enheder, der ellers er låst til Windows.
11. august 2016 kl. 16:12
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Mange Windows-enheder er udstyret med en såkaldt Secure Boot funktion, der skal sikre, at enheden ikke booter med et styresystem, der ikke er signeret af Microsoft.

Brugere af visse Windows-telefoner og tablets som Windows RT kan derfor ikke frit vælge OS til sin enhed - selv med administratoradgang.

Nu er Secure Boot imidlertid blevet godt og grundigt saboteret af Microsoft selv, der ved en fejl har frigivet en universalnøgle til at omgå låsen fra Secure Boot.

Fejlen er opdaget af to sikkerhedsforskere, skriver The Register.

Artiklen fortsætter efter annoncen

Nøglen er ifølge det britiske techmedie i virkeligheden en signeret version af en såkaldt Secure Boot policy - et regelsæt, som skal følges af Windows Boot Manager. I dette tilfælde tillader reglerne, at enheden booter andre styresystemer end godkendte Windows-udgaver.

Nøglen er formentlig blevet brugt af udviklere til at køre ikke-signerede OS-versioner og er ved en fejl blevet inkluderet på enheder, der er solgt gennem forhandlere.

Hvis brugere får fingre i den lækkede, usikre udgave af Secure Boot og installerer den i firmwaren, kan man for eksempel udstyre Microsoft Surface med Linux.

Secure Boot er dog ikke kun opfundet for at beskytte Microsoft’s software for at blive erstattet med konkurrenternes. Det skal også sikre mod indlæsning af diverse rootkits.

Artiklen fortsætter efter annoncen

Det er tilsyneladende ikke ligetil for Microsoft at gøre skaden god igen.

I juli forsøgte Microsoft med en patch at forhindre brugere i at omgå Secure Boot. Ifølge The Register kunne patchen ikke stoppe hullet, men har til gengæld forhindret brugere i at installere den usikre Secure Boot.

I denne uge har Microsoft udsendt endnu et patch, men først i en patch, der udkommer i næste måned, skulle hullet være endeligt lukket.

16 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
16
15. august 2016 kl. 10:55

Skal der en usikker Secure Boot til, før det er muligt at lægge en Linux på en MS Surface (artiklens budskab), eller kan MS ikke klandres noget i den sammenhæng, fordi man godt kan lægge Linux på en Surface hvor MS er hardwareproducenten, mens MS måske klarer frisag på andre hardwareproducenters maskiner?

Kan Microsoft klandres nogetsomhelst for at have deres eget system lukket til deres egen hardware?

Det vil være noget andet, hvis Surface får monopol... Men der er vi da vidst ikke endnu.

Men indtil da, er det vel folks eget valg, om de vil have en sådan maskine, som er lukket til OSet?

Jeg synes det er ganske svært at argumentere udfra et sikkerhedsmæssigt synspunkt, at SecureBoot så ikke er nødvendigt. Og det er vel så også klart nok, at jo mere man låser systemet, des mere sikkert er det.

Hvad er modargumentet til denne påstand?

Man skal passe lidt på, at Linux ikke får påklistret den her rent ud sagt gyselige offermentalitet som er så populær, og som er en patetisk undskyldning for at undgå at arbejde selv, men at argumenter for Linux eller imod Microsoft er baseret på relle fakta.

Og jeg vil da gerne ændre synspunkt med gode modargumenter, men jeg mener som udgangspunkt ikke, at Microsoft gør noget ulovligt ved at totallåse deres OS til deres egen hardware. Sålænge den hardware ikke har en kontrollerende faktor via monopol.

15
15. august 2016 kl. 10:30

Det vil måske være meget godt her at komme lidt ned på jorden. Alt hvad MS gør er ikke for at bekæmpe Linux.

https://www.youtube.com/watch?v=eRSiWtZgIcI

Er det ikke lidt underligt, at manden bag Linux kan se hvad det handler om, men de religiøse følgere kan ikke?

Jeg mindes her åbningsscenen fra Life of Brian... Blessed are the cheese makers. (Bortset fra at være den morsomste film nogensinde, så fortæller den en del om mennesker).

Giv Microsoft verbale bank hvor det er fair at gøre det. Men det er det altså ikke i alle tilfælde.

14
14. august 2016 kl. 21:38

Secure Boot kan slås fra på Surface, og det er Microsoft der producerer dem. Tilfreds?

Slap nu af.

Jeg prøver bare at finde ud af hvad der er op og ned, og der er ting jeg ikke kan få til at passe sammen, fordi der er modsigelser.

Artiklen siger: "Hvis brugere får fingre i den lækkede, usikre udgave af Secure Boot og installerer den i firmwaren, kan man for eksempel udstyre Microsoft Surface med Linux."

... hvilket jeg læser som at man ikke kan lægge Linux på en MS Surface uden denne usikre udgave af Secure Boot.

Og så kommer du ind over med din historie om at Microsoft slet ikke kan klandres dette, fordi det er hardwareproducenten der afgør det.

Men producenten af Microsoft Surface er...?

Godt så - hvad er så sandheden her? Og jeg spørger fordi jeg ikke ved det, og fordi artiklens og dit udsagn ikke passer sammen.

Skal der en usikker Secure Boot til, før det er muligt at lægge en Linux på en MS Surface (artiklens budskab), eller kan MS ikke klandres noget i den sammenhæng, fordi man godt kan lægge Linux på en Surface hvor MS er hardwareproducenten, mens MS måske klarer frisag på andre hardwareproducenters maskiner?

13
14. august 2016 kl. 11:06

Er du stødt på nogen "Windows 10 certified computere, hvor det ikke kunne lade sig gøre?

Jeg er stødt på en enkelt hvor det ikke lykkedes at komme ind i biosen så vi kunne få installeret linux på den.

Om det havde været muligt hvis vi var kommet ind i bios, kan jeg selvfølgelig ikke sige, men ejeren droppede det, og konstaterede at med alt det bøvl ville han blot returnere maskinen, og bytte den til en mere venlig model.

/Henning

12
14. august 2016 kl. 10:30

Hvad der sker bag lukkede døre ved vi selvfølgelig ikke. Af samme grund gider jeg ikke beskæftige mig med det, da det jo vil være ren og skær gætteri.

Er du stødt på nogen "Windows 10 certified computere, hvor det ikke kunne lade sig gøre?

11
14. august 2016 kl. 10:20

Der har du ret i. Surface 3, og alle Surface Pro modellerne kan du gøre det på. RT modellerne, deres fejlede ARM forsøg som jeg havde glemt i farten, kunne man ikke.

7
12. august 2016 kl. 20:35

Det blev indført da Windows 10 blev introduceret, ikke bare ved en opdatering :-)

Personligt er jeg ligeglad, så længe MS ikke tvinger producenterne til at forhindre deaktivering af Secure Boot.

6
12. august 2016 kl. 19:43

Sjovt nok har det tidligere været et krav fra MS at det skulle være muligt at slå Secure Boot fra.

Den klausul forsvandt så ved en opdatering

MS kunne bare have fastholdt den, eller som minimum krævet at enheder hvor Secure Boot ikke kunne slåes fra skulle mærkes så forbrugeren var advaret.

5
12. august 2016 kl. 13:18

Min første kommentar var generelt om Secure Boot. Parantesen var blot for at understrege at det ikke er dikteret af Microsoft, om du kan slå det fra.. Artiklen skriver i øvrigt også "for eksempel", så altså ikke Surface specifikt.

Secure Boot kan slås fra på Surface, og det er Microsoft der producerer dem. Tilfreds?

På øvrige producenters computere, er det op til producenten om man kan disable det. Microsoft kræver bare det er enablet fra start, hvis de vil have et Windows 10 logo på.

4
12. august 2016 kl. 10:31

<a href="https://www.microsoft.com/surface/en-us/support/warranty-service-and-re…;
<p>og for Surface Pro 4 og Surface Book:
<a href="https://www.microsoft.com/surface/en-us/support/warranty-service-and-re…;

TL;DR

Kan du ikke bare svare "Det er Microsoft der producerer Microsoft Surface"? For det lader til at være tilfældet, selvom du lige har påstået det modsatte i dit første indlæg:

såfremt producenten af computeren (ikke Microsoft) tillader det.

2
12. august 2016 kl. 09:13

Adskillige Linux distros supporterer Secure Boot, og kører man en der ikke gør, så slår man Secure Boot fra - såfremt producenten af computeren (ikke Microsoft) tillader det.

Kan du ikke lige genopfriske min hukommelse: Hvem er det der producerer Microsoft Surface?

Hvis brugere får fingre i den lækkede, usikre udgave af Secure Boot og installerer den i firmwaren, kan man for eksempel udstyre Microsoft Surface med Linux.

1
12. august 2016 kl. 00:25

Kunne skribenten måske tage og læse op på Secure Boot, så vi slipper for myten om at det er en ond Microsoft opfindelse, skabt for at forhindre Linux i at køre på computere? Adskillige Linux distros supporterer Secure Boot, og kører man en der ikke gør, så slår man Secure Boot fra - såfremt producenten af computeren (ikke Microsoft) tillader det.