Secure Boot nie działa prawidłowo na płytach głównych MSI

Secure Boot nie działa prawidłowo na płytach głównych MSI

Autor: Krzysztof Sulikowski

Opublikowano: 1/17/2023, 2:20 PM

Liczba odsłon: 2773

Jedną z głównych funkcji bezpieczeństwa, które Microsoft dodał do wymagań systemowych Windows 11, jest Secure Boot. Mechanizm ten uniemożliwia złośliwemu oprogramowaniu ładowanie się wraz z systemem. Dzieje się to poprzez weryfikowanie podpisanych sterowników i uwierzytelnianie plików bootowania Windowsa. Okazuje się jednak, że przez ponad rok funkcja była źle skonfigurowana na płytach głównych MSI.

Odkryciem tym podzielił się polski badacz zabezpieczeń Dawid Potocki, który znalazł nieprawidłowość na MSI Pro Z790-A WiFi. Wszystkie opcje w "Image Execution Policy" w ustawieniach Secure Boot były ustawione na "Always Execute", co oznacza, że płyta główna zaakceptuje każdy obraz OS niezależnie od tego, czy mu ufa czy nie.

Secure Boot MSI

Potocki zauważył, że jego firmware akceptował każdy obraz OS, jaki mu dał. Odkrył on, że oprogramowanie nie było zepsute, ale to MSI zmieniło swoje ustawienia domyślne Secure Boot, umożliwiając mu bootowanie w przypadku naruszenia bezpieczeństwa. Kiedy wejdziemy w menu, zobaczymy rozczarowujące ustawienia domyślne. Nie robi żadnej weryfikacji. To bezużyteczne. Ma tylko spełniać wymagania Windows 11. System operacyjny nie ma pojęcia, że Secure Boot nic nie robi, po prostu wie, że jest „włączony” — pisze badacz.

Aby przywrócić nomen omen "Bezpieczny rozruch", w ustawieniach należy zmienić "Always Execute" na "Deny Execute" w "Removable Media" i "Fixed Media". Lista dotkniętych modeli płyt głównych obejmuje setki pozycji.

Źródło: https://dawidpotocki.com/en/2023/01/13/msi-insecure-boot/

Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży
Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży

Wydarzenia