MSI przypadkowo łamie Bezpieczny rozruch dla setek płyt głównych
Według doniesień ponad 290 płyt głównych MSI jest dotkniętych niezabezpieczonymi domyślnymi ustawieniami ustawień UEFI Secure Boot, które umożliwiają uruchomienie dowolnego obrazu systemu operacyjnego, niezależnie od tego, czy ma on nieprawidłowy podpis, czy go nie ma.
To odkrycie pochodzi od polskiego badacza bezpieczeństwa, Dawida Potockiego, który twierdzi, że nie otrzymał odpowiedzi, mimo że próbował skontaktować się z MSI i poinformować o problemie.
Według Potockiego problem dotyczy wielu płyt głównych MSI opartych na procesorach Intel i AMD, które korzystają z najnowszej wersji oprogramowania układowego, wpływając nawet na zupełnie nowe modele płyt głównych MSI.
Bezpieczny rozruch UEFI
Bezpieczny rozruch to funkcja bezpieczeństwa wbudowana w oprogramowanie układowe płyt głównych UEFI, która zapewnia, że podczas procesu rozruchu może działać tylko zaufane (podpisane) oprogramowanie.
„Podczas uruchamiania komputera oprogramowanie układowe sprawdza sygnaturę każdego oprogramowania rozruchowego, w tym sterowników oprogramowania układowego UEFI (znanych również jako Option ROM), aplikacji EFI i systemu operacyjnego” — wyjaśnia Microsoft w artykule na temat bezpiecznego rozruchu.
„Jeśli podpisy są prawidłowe, komputer uruchamia się, a oprogramowanie układowe przekazuje kontrolę systemowi operacyjnemu”.
Aby zweryfikować bezpieczeństwo programów ładujących, jąder systemu operacyjnego i innych istotnych składników systemu, funkcja bezpiecznego rozruchu sprawdza PKI (infrastrukturę klucza publicznego), która uwierzytelnia oprogramowanie i określa jego ważność przy każdym uruchomieniu.
Jeśli oprogramowanie jest niepodpisane lub jego podpis uległ zmianie, prawdopodobnie z powodu modyfikacji, proces rozruchu zostanie zatrzymany przez Bezpieczny rozruch w celu ochrony danych przechowywanych na komputerze.
Ten system bezpieczeństwa ma na celu zapobieganie uruchamianiu bootkitów/rootkitów UEFI (1, 2, 3) na komputerze i ostrzeganie użytkowników, że ich system operacyjny został zmodyfikowany po tym, jak dostawca dostarczył system.
Domyślne ustawienia MSI powodują niepewne uruchamianie
Potocki twierdzi, że wersja aktualizacji oprogramowania układowego MSI „7C02v3C”, wydana 18 stycznia 2022 r., Zmieniła domyślne ustawienie Bezpiecznego rozruchu na płytach głównych MSI, dzięki czemu system uruchomi się nawet po wykryciu naruszenia bezpieczeństwa.
„Zdecydowałem się skonfigurować Bezpieczny rozruch na moim nowym pulpicie za pomocą sbctl. Niestety odkryłem, że moje oprogramowanie układowe akceptuje każdy obraz systemu operacyjnego, jaki mu podałem, bez względu na to, czy był zaufany, czy nie”, wyjaśnia badacz w swoim artykule .
„Jak później odkryłem 16.12.2022 r., nie było to tylko zepsute oprogramowanie układowe; MSI zmieniło domyślne ustawienia Bezpiecznego rozruchu, aby umożliwić uruchamianie w przypadku naruszenia bezpieczeństwa (!!).”
Ta zmiana polegała na błędnym ustawieniu domyślnego ustawienia „Zasady wykonywania obrazu” w oprogramowaniu układowym na „Zawsze wykonuj”, umożliwiając normalne uruchamianie dowolnego obrazu.
Jak widać na powyższym obrazku, mimo że Bezpieczny rozruch jest włączony, jego ustawienie „Zasady wykonywania obrazu” jest ustawione na „Zawsze wykonuj”, umożliwiając uruchomienie systemu nawet w przypadku naruszenia bezpieczeństwa.
To skutecznie psuje funkcję Bezpiecznego rozruchu, ponieważ niezaufane obrazy nadal mogą być używane do uruchamiania urządzenia
Potocki wyjaśnia, że użytkownicy powinni ustawić zasady wykonywania na „Odmów wykonania” dla „Nośników wymiennych” i „Nośników stałych”, co powinno zezwalać na uruchamianie tylko podpisanego oprogramowania.
Badacz twierdzi, że MSI nigdy nie udokumentowało zmiany, więc musiał prześledzić wprowadzenie niezabezpieczonych ustawień domyślnych za pomocą IFR (UEFI Internal Form Representation) w celu wyodrębnienia informacji o opcjach konfiguracyjnych.
Następnie Potocki wykorzystał te informacje do określenia, które płyty główne MSI zostały dotknięte problemem. Pełna lista ponad 290 płyt głównych, których dotyczy to niebezpieczne ustawienie, jest dostępna na GitHub.
Jeśli używasz płyty głównej MSI z tej listy, przejdź do ustawień BIOS-u i sprawdź, czy „Zasady wykonywania obrazu” są ustawione na bezpieczną opcję.
Jeśli nie aktualizowałeś oprogramowania płyty głównej od stycznia 2022 r., wprowadzenie złej wartości domyślnej nie powinno być powodem do odkładania tego na później, ponieważ aktualizacje oprogramowania zawierają ważne poprawki bezpieczeństwa.
Firma BleepingComputer skontaktowała się z firmą MSI z prośbą o komentarz w powyższej sprawie oraz o to, czy planują zmienić ustawienia domyślne za pomocą nowej aktualizacji, ale wciąż czekamy na odpowiedź.