С последним Patch Tuesday 12 июля 2016 года компания Microsoft устранила dev-бэкдор в Windows RT - в версии операционной системы Windows 8.x, портированной на устройства с 32-битными ARMv7. С его помощью разработчики и хакеры могли устанавливать на планшеты операционные системы, не одобренные Microsoft. Например, Android или GNU/Linux.
На большинстве компьютеров это не является особой проблемой, потому что Secure Boot в BIOS можно отключить при наличии физического доступа к компьютеру.
Отключение Secure Boot
Но только на планшетах ARM с предустановленной Windows RT протокол Secure Boot вообще не отключается в штатном режиме.
Естественно, невозможность установить на хороший (в аппаратной части) планшет нормальную операционную систему ужасно раздражала. После длительной исследовательской работы и обратной разработки кому-то всё-таки удалось найти способ обойти процедуру «безопасной загрузки» на планшетах Windows RT с помощью специальным образом составленной политики, которая могла отключить проверку сигнатуры загрузочного кода, позволяя загружать на устройстве произвольные драйверы. Вдобавок, «злоумышленник» мог отключить проверку Secure Boot Integrity Validation для BitLocker и опции безопасности системы шифрования, говорится в бюллетене безопасности MS16-094.
К сожалению, технических подробностей о том, как именно обойти защиту Secure Boot на планшетах Windows RT, не опубликованы в открытом доступе. Известно только, что перед этим нужно отключить BitLocker.
Manage-bde -protectors C: -disable
Зато точно известно, что уязвимость Secure Boot присутствует также в Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 и Windows Server Core. Для всех этих версий выпущены патчи, перечисленные в бюллетене MS16-094.
- Windows 8.1 32-bit : KB3172727
- Windows 8.1 x64 : KB3172727
- Windows Server 2012 : KB3172727
- Windows Server 2012 R2 : KB3172727
- Windows 10 32-bit
- Windows 10 x64 : KB3163912 (кумулятивный апдейт)
Microsoft дала понять, что несмотря на завершение разработки Windows RT, она не намерена открывать платформу для сторонних операционных систем. Это сильно подорвало бы сложившийся имидж компании. С другой стороны, и оставлять бэкдор в системе тоже нельзя, если уж о нём стало известно.