Peneliti keamanan asal Australia, Jack Darcy, tanpa sengaja menemukan celah ini saat meminta Copilot untuk menyesuaikan kecerahan layar Surface miliknya. Alih-alih menyesuaikan backlight, AI tersebut malah mengeksekusi skrip Python yang menimpa firmware pengontrol embedded (embedded controller firmware) dan membuat laptopnya tidak bisa dihidupkan sama sekali.
"Copilot secara otonom membuat dan menjalankan empat skrip Python yang semakin agresif saat mencari nilai kontrol backlight," jelas Darcy kepada The Register. Skrip tersebut mengirimkan perintah SSAM ioctl langsung ke mikrokontroler SAM—komponen yang mengatur fungsi dasar perangkat Surface—tanpa ada perlindungan terhadap nilai tulisan sembarang.
Celah yang Sudah Bertahun-tahun Dikeluhkan Pengguna
Yang membuat celah ini serius: tidak ada mekanisme keamanan dasar yang mencegah penulisan data sembarangan ke firmware. Pada perangkat digital lain, untuk bisa menulis ke firmware biasanya pengguna harus menahan tombol tertentu atau menyambungkan kabel jumper. Di Surface, pemeriksaan itu tidak ada.
Akibatnya, perangkat yang terkena serangan ini masih bisa menyala sesaat karena SAM berjalan di RAM. Namun begitu di-restart, SAM mencoba memuat ulang dari penyimpanan non-volatile yang sudah rusak, gagal melakukan Power-On Self-Test (POST), dan perangkat pun mati permanen. "Tidak ada USB, tidak ada factory reset, tidak ada akses ke BIOS/UEFI," kata Darcy. Satu-satunya jalan adalah mengganti motherboard yang biayanya bisa mencapai ratusan dolar AS.
Di forum dukungan online Surface, keluhan tentang perangkat yang tiba-tiba tidak bisa booting sudah sering muncul bertahun-tahun. Meski tidak semua kasus pasti disebabkan oleh celah ini, Darcy menyebut desain SAM Bus sebagai akar masalah. "Anda tidak bisa melihat nilai saat ini tanpa memindai bus. Tapi memindai bus justru membunuh unit," ujarnya.
Microsoft Anggap Bukan Ancaman Nyata, tapi Pengguna Linux Wajib Waspada
Microsoft sendiri tidak menganggap celah ini sebagai ancaman praktis. "Tidak ada skenario serangan realistis dengan masalah ini," kata juru bicara Microsoft kepada The Register. Menurut perusahaan, untuk mengeksploitasi celah ini, penyerang perlu memiliki akses administrator dan menonaktifkan Secure Boot—dua kondisi yang sudah memberi penyerang kendali penuh atas perangkat.
Namun, bagi pengguna yang sengaja menonaktifkan Secure Boot untuk bermain game, menjalankan Linux, atau menggunakan driver Windows kustom, risikonya tetap ada. Perangkat yang dikelola perusahaan (managed devices) tidak terdampak karena kebijakan keamanan tetap aktif. Microsoft juga memastikan sebagian besar perangkat yang rentan sudah mendapat pembaruan melalui Windows Update, meski celah ini tidak dianggap cukup serius untuk mendapatkan nomor CVE.
Microsoft Mulai Migrasi Firmware Surface ke Rust
Sebagai langkah jangka panjang, Microsoft berencana memindahkan seluruh tumpukan firmware Surface ke bahasa pemrograman Rust yang lebih aman. David Abzarian, chief architect untuk Microsoft Surface, mengonfirmasi bahwa timnya sedang mengerjakan transisi untuk perangkat Surface for Business—mencakup embedded controller, UEFI, hingga driver—dengan kode yang ditulis ulang dari nol di Rust.
"Kami berinvestasi pada fondasi PC yang paling aman dengan membangun firmware embedded controller dari awal di Rust, selain menulis ulang UEFI DXE Core di Rust," kata Abzarian. Proyek ini dikenal dengan nama Secure EC dan Project Patina, dan semuanya bersifat open-source.
Darcy, yang kini mendapat laptop Surface baru dari Microsoft sebagai bentuk apresiasi, masih menyayangkan desain firmware yang rentan. "Fakta bahwa sebuah perangkat bisa dihancurkan secara permanen dari userspace adalah... keputusan desain yang menarik," katanya. "Sedikit inovasi dalam memverifikasi data yang masuk di level firmware akan sangat dihargai."
