SoftwareMicrosoft přehlížel chybu v Secure Boot déle než deset let

Microsoft přehlížel chybu v Secure Boot déle než deset let

Výzkumníci z bezpečnostní společnosti ESET objevili skupinu starých UEFI zavaděčů, které Microsoft podepsal a dlouhá léta je ponechal důvěryhodné. Útočníci díky nim mohli obejít ochranu Secure Boot a otevřít cestu škodlivému kódu, který se usadí hluboko v systému. Microsoft už část problému opravil, odborníci ale upozorňují, že pátrání zdaleka nekončí.

Bezpečnostní mechanismus Secure Boot měl od svého vzniku chránit počítače před nebezpečným kódem, který se spouští ještě před načtením operačního systému. Nové zjištění společnosti ESET ale ukazuje, že tato ochrana měla dlouhé roky výraznou slabinu. Microsoft totiž ponechal důvěryhodné staré UEFI shim zavaděče, přestože se u nich už dříve objevily známé bezpečnostní chyby.

Problém se týká celkem jedenácti zranitelných shimů. Jde o malé zavaděče, které Microsoft podepisuje hlavně kvůli tomu, aby mohly linuxové distribuce fungovat se zapnutým Secure Boot. Stejný princip ale využívají také některé diagnostické nástroje a další utility. Útočníkům stačilo použít starou, stále důvěryhodnou verzi a získali možnost obejít jednu z nejdůležitějších bezpečnostních funkcí počítače.

Chyba se netýkala jen Linuxu

Dopad se přitom neomezoval jen na Linux. Ohrožené byly také počítače s Windows, protože Microsoft podepsal tyto shimy vlastním certifikátem pro UEFI. Pokud měl počítač tento certifikát nainstalovaný, mohl škodlivý zavaděč otevřít cestu rootkitům nebo dalším druhům malwaru, které přežijí i přeinstalaci systému nebo výměnu pevného disku.

Jak upozornil výzkumník Martin Smolár z ESET, největší problém nespočívá v nové zranitelnosti. „Co dělá tyto staré shimy nebezpečnými, není nová zranitelnost. K obejití UEFI Secure Boot není potřeba objevovat nic nového.“ Podle něj útočník potřebuje jen starý, stále důvěryhodný soubor a základní znalost fungování těchto zavaděčů.

Secure Boot vznikl už v roce 2012 jako obrana proti takzvaným bootkitům. Ty dokážou napadnout firmware počítače a spustit škodlivý kód ještě před operačním systémem. Právě proti podobným útokům měla technologie chránit, jenže staré podepsané shimy tuto ochranu prakticky obcházely.

Microsoft opravil známé případy

ESET nahlásil problém letos v únoru a Microsoft následně reagoval v červnové sadě bezpečnostních aktualizací. Windows 11 po instalaci těchto záplat už jedenáct známých shimů nepovažuje za důvěryhodné. Jejich otisky přibyly do databáze zneplatněných komponent označované jako dbx. Také uživatelé Linuxu si mohou ověřit, zda jejich systém obsahuje aktuální databázi.

Výzkumníci ale upozorňují, že tím celý příběh nekončí. Před rokem 2017 totiž neexistovalo centrální úložiště projektu shim-review, takže nikdo systematicky neevidoval všechny podepsané verze. Další zranitelné shimy tak mohou stále existovat a Microsoft je nemůže zneplatnit, dokud je bezpečnostní odborníci nenajdou.

Podle expertů ukazuje celý případ také na složitost samotného Secure Boot. Vedle databází důvěryhodných a zakázaných certifikátů využívá systém další mechanismy, například SBAT nebo Secure Boot Security Version Number, které řeší zneplatňování starších verzí. Právě množství navzájem propojených pravidel podle některých odborníků zvyšuje riziko, že podobná přehlédnutí zůstanou dlouho bez povšimnutí.

Firmware expert HD Moore označil celý případ za vážnou připomínku limitů současného modelu. Podle něj vznikl ekosystém, ve kterém existuje velké množství podepsaných komponent, o nichž nikdo přesně neví, jaké možnosti poskytují. Celý ekosystém je do určité míry rozbitý a potřebuje restart.

Reklama

Doporučujeme

OpenAI chystá chytrý reproduktor bez displeje

OpenAI podle dostupných informací připravuje svůj první hardwarový produkt. Půjde o přenosné zařízení bez displeje, které propojí schopnosti ChatGPT s funkcemi chytré domácnosti. Novinka má fungovat jako osobní AI společník, postupně se učit z návyků svého majitele a nabídnout mnohem osobnější komunikaci než dnešní chytré reproduktory.

Google Pixel 11 se ukázal na obrázcích ve třech barvách

Nové úniky naznačují, že představení řady Google Pixel 11 se rychle blíží. Na Amazonu se totiž na krátkou dobu objevily připravované produktové stránky s obrázky základního modelu i několika technickými údaji. Přestože se kolem nich objevilo několik nejasností, většina informací odpovídá dřívějším únikům.

Apple chystá nové Apple Pencil kvůli pravidlům EU

Apple podle dostupných informací připravuje nové generace stylusů Apple Pencil, které by měly dorazit společně s příštím iPadem Pro. Hlavním důvodem změn nejsou nové funkce, ale evropská pravidla zaměřená na snadnější opravy elektroniky. Firma proto pracuje na nové konstrukci baterií, která má splnit chystané požadavky.

OpenAI ukončí prohlížeč Atlas a jeho funkce přesune do ChatGPT

OpenAI končí s vlastním AI prohlížečem Atlas, který spustil teprve loni na podzim. Firma ale od myšlenky chytrého prohlížení webu neustupuje. Naopak přesouvá jeho klíčové funkce do desktopové aplikace ChatGPT a nového rozšíření pro Google Chrome.

Oživení konzole 3DO skončilo kvůli sporům o práva

Plány na návrat legendární konzole 3DO skončily jen několik dní po svém oznámení. Vydavatel Empire Interactive narazil na komplikované vlastnické vztahy a rozhodl se celý projekt ukončit ještě před jeho skutečným rozjezdem.

Sony ukončí výrobu her na fyzických discích v roce 2028

Sony definitivně potvrdilo přechod k digitální distribuci her. Od ledna 2028 přestane vyrábět fyzické disky pro všechny nové tituly PlayStation. Starší hry na discích zůstanou v prodeji, ale budoucnost značky už bude stát především na stahování z internetu.

Gmail Live míří do testování na Androidu i iPhonu

Google začal testovat novou funkci Gmail Live, která umožní hledat e maily pomocí hlasu a běžné konverzace s umělou inteligencí Gemini. Novinka se nejprve objeví u vybraných uživatelů a později zamíří k předplatitelům Google AI Pro a Ultra.

OnePlus v Evropě začíná odkazovat zákazníky na produkty Oppo

OnePlus udělal v několika evropských zemích další krok, který naznačuje změnu jeho role na trhu. Na oficiálních webech značky se objevily bannery, které zákazníky posílají přímo do e shopu Oppo a doporučují jim jeho telefony, tablety i příslušenství. Podle dostupných informací jde zatím o změnu v Německu, Francii a Španělsku, kde obě značky působí vedle sebe.

Tidal přestane vyplácet odměny za plně AI vytvořenou hudbu

Hudební streamovací služba Tidal mění pravidla pro obsah vytvořený umělou inteligencí. Skladby, které vznikly stoprocentně pomocí AI, na platformě zůstanou, jejich autoři ale už za ně nedostanou tantiémy. Nová pravidla mají podpořit lidskou tvorbu a omezit zneužívání generativní umělé inteligence.

Apple vydal macOS Tahoe 26.5.2

Apple uvolnil novou aktualizaci macOS Tahoe 26.5.2 pro všechny podporované počítače Mac. Nová verze nepřináší viditelné novinky, ale zaměřuje se na opravy zabezpečení. Firma proto doporučuje instalaci všem uživatelům.

WhatsApp zavádí uživatelská jména a skryje telefonní čísla

WhatsApp přidává dlouho očekávanou novinku. Uživatelé si už nyní mohou rezervovat vlastní uživatelské jméno, které později nahradí telefonní číslo při navazování nových kontaktů. Samotná funkce dorazí během následujících měsíců.

Instagram testuje další možnosti přizpůsobení algoritmu

Instagram pokračuje ve vývoji funkce Your Algorithm a testuje nové způsoby, jak lidem usnadnit ovlivňování doporučeného obsahu. Místo hledání nastavení by se přizpůsobení algoritmu mohlo stát běžnou součástí používání aplikace.

Apple Wallet v iOS 27 přináší nové nástroje pro platby i správu financí

Apple v iOS 27 výrazně rozšiřuje možnosti aplikace Wallet. Nová verze přidává vlastní tvorbu digitálních průkazů a vstupenek, lepší správu hotelových klíčů, chytré rozdělování účtů i funkci Insights pro sledování financí. Firma tak pokračuje v proměně iPhonu na plnohodnotnou náhradu klasické peněženky.

Samsung Galaxy Watch Ultra 2 má nabídnout tenčí rámečky a novou konstrukci

Samsung podle nových úniků chystá výraznější změny v nabídce svých chytrých hodinek. Letos se údajně zaměří na model Galaxy Watch Ultra 2 a zároveň vynechá očekávané Galaxy Watch 9 Classic. Naznačují to informace zveřejněné známým leakerem GalaxyTechie, na které následně upozornilo několik technologických médií.
Reklama
Reklama
Reklama
Reklama