Una “Llave de oro” encontrada en la función Secure Boot ha puesto otra vez en la mesa el tema de incorporar puertas traseras “oficiales” que abren o desbloquean alguna restricción de seguridad.
La función de arranque seguro o Secure Boot se encuentra en el firmware UEFI y cuando está activado sólo permite la ejecución de programas firmados por un certificado válido y no revocado. De esta manera protege al dispositivo contra la ejecución de software no autorizado o de malware como un rootkit. En algunos dispositivos dicha protección no puede ser desactivada por el usuario.
La “llave de oro” fue descubierta en marzo por los investigadores de seguridad my123 y Slipstream y reportada en abril a Microsoft. De acuerdo con los investigadores de seguridad durante el desarrollo de Windows 10 v1607 Redstone un nuevo tipo de política de arranque seguro llamada “suplementaria” fue agregada por Microsoft. El programa gestor de arranque (bootmgr.efi) de Redstone carga primero las políticas legadas y después carga, verifica y mezcla con las políticas suplementarias. Al combinarse con las políticas legadas, las políticas suplementarias tienen nuevo elementos que no son verificados por el gestor de arranque al cargar una política legada. Como el gestor de arranque de versiones anteriores de Windows 10, de la v1511 para atrás, desconoce las políticas suplementarias entonces la política cargada es válida, permitiendo la carga de controladores no firmados, como un rootkit, o ejecutar un .efi sin firma, como bootkit. Una puerta trasera que Microsoft puso en el Secure Boot porque decidieron no permitir al usuario desactivarlo en ciertos dispositivos y que desactiva el arranque seguro.
Un atacante sólo tiene que reemplazar el bootmgr con otro de una versión anterior para instalar rootkit, bootkits, Linux o Android en los dispositivos protegidos por Secure Boot. Los investigadores se mostraron escépticos de que Microsoft revoque las llaves divulgadas, ya que tiene que ver con el cumplimiento de la ley especial de puerta trasera que permite a las agencias de gobierno, como la NSA y el FBI, usarla en casos judiciales donde se requiera el desbloqueo de dispositivos. El caso más reciente, la disputa de Apple con el FBI sobre el desbloqueo del iPhone recuperado de uno de los supuestos autores del tiroteo de diciembre de 2015 en San Bernardino, California.
El fallo en el diseño de Secure Boot se ha ido corrigiendo a través de actualizaciones de seguridad publicadas en los martes de parches de julio (MS16-094) y agosto (MS16-100), pero aún no ha sido resuelto en su totalidad. Lo que ha hecho Microsoft es poner en lista negra las políticas y los gestores de arranque (bootmgr) afectados. Para los investigadores en la práctica sería imposible para Microsoft revocar todos los bootmgr anteriores ya que rompería los medios de instalación, las particiones de recuperación, los respaldos, etc.