Funkcja Secure Boot (bezpieczny rozruch) zostałą domyślnie wyłączona na blisko 300 różnych płytach produkcji MSI. Co gorsze, użytkownicy nie są świadomi utraty zabezpieczeń, które wywołała aktualizacja oprogramowania układowego.
Bezpieczny rozruch to standard bezpieczeństwa komputerów PC, którego celem jest zapewnienie, że urządzenia uruchamiają tylko oprogramowanie zaufane przez producenta sprzętu. Oprogramowanie układowe urządzenia ma sprawdzać podpis kryptograficzny każdego oprogramowania rozruchowego, w tym sterowników oprogramowania układowego UEFI, aplikacji EFI i systemu operacyjnego. Dawid Potocki, badacz bezpieczeństwa open source, który studiuje w Nowej Zelandii, odkrył w zeszłym miesiącu, że niektóre płyty główne MSI z określonymi wersjami oprogramowania układowego pozwalają na uruchamianie dowolnych plików binarnych pomimo naruszeń zasad bezpiecznego rozruchu.
Aktualizacja UEFI wyłącza domyślnie funkcję Secure Boot na płytach MSI. Producent nie poinformował o problemie i nie skomentował w żaden sposób doniesień.
Aby działać zgodnie z przeznaczeniem, Bezpieczne uruchamianie musi być włączone i skonfigurowane w taki sposób, aby proces uruchamiania akceptował tylko systemy operacyjne z prawidłowymi podpisami. Począwszy od aktualizacji oprogramowania układowego wprowadzonej na początku 2022 roku, jak odkrył Potocki, MSI zdecydowało się zmienić domyślną konfigurację Bezpiecznego rozruchu na „akceptowanie każdego obrazu systemu operacyjnego,bez względu na to, czy był zaufany, czy nie". Potocki mówi, że odkrył problem podczas konfigurowania Bezpiecznego rozruchu na swoim nowym komputerze stacjonarnym za pomocą sbctl (menedżera kluczy bezpiecznego rozruchu w systemie Linux). Sam podpisał proces Bezpiecznego rozruchu, ale oprogramowanie układowe UEFI uruchamiało każdy system operacyjny niezależnie od podpisu. Aktualizacja oprogramowania sprzętowego zmieniła ustawienie Bezpiecznego rozruchu o nazwie „Zasady wykonywania obrazu (Image Execution Policy)”, które zostało ustawione na „Zawsze wykonuj (Always Execute)” zamiast „Odmawiaj wykonywania (Deny Execute)”, tak jak powinno być.
Po stwierdzeniu, że jego MSI PRO Z790-A WIFI nie zweryfikowało plików binarnych, Potocki zaczął przeglądać inne płyty główne MSI, aby sprawdzić, czy mają podobnie błędne ustawienia. Znalazł ich blisko 300. Według Potockiego, MSI domyślnie ustawia „Zawsze wykonuj” w przypadku naruszenia zasad dla wszystkiego, co sprawia, że Bezpieczny rozruch jest bezużyteczny przy domyślnych ustawieniach. „Nie dotyczy to laptopów [MSI], a jedynie ich płyt głównych do komputerów stacjonarnych” — napisał Potocki. „Podejrzewam, że dzieje się tak dlatego, że prawdopodobnie wiedzieli, że Microsoft by tego nie zatwierdził i/lub że dostają mniej zgłoszeń dotyczących Bezpiecznego rozruchu powodującego problemy dla ich użytkowników”.
Łączna liczba dotkniętych problemem płyt głównych wynosi ponad 290, zarówno dla procesorów Intel, jak i AMD. Mimo że Bezpieczne uruchamianie może być ponownie skuteczne poprzez zmianę opcji Polityki wykonywania obrazu na „Odmów wykonania”, to nie wiadomo, czemu MSI zmieniło ustawienia ważnej funkcji bezpieczeństwa dla dużej liczby konsumenckich płyt głównych.
Pokaż / Dodaj komentarze do: Secure Boot na płytach MSI wcale nie jest "secure". Polak znalazł poważny błąd