Secure Boot är en metod för att säkerställa att program som startas av moderkortets UEFI är pålitligt och säkert. Vid uppstart av till exempel ett operativsystem valideras den kryptografiska signaturen i programmet för att förhindra otillåten eller oväntad kod från att exekvera.
Säkerhetsforskaren Dawid Potocki berättar i ett blogginlägg att funktionen inte riktigt fungerar som väntat på flertalet moderkort från MSI, närmare bestämt är det ungefär 300 olika modeller som är drabbade. Felet uppdagades när Potocki konfigurerade Secure Boot för sitt Linux-baserade system och märkte den fasta programvaran accepterade alla OS-avbildningar, oaktat om dessa är validerade eller inte.
Secure Boot ska helt hindra detta från att ske, men enligt Potocki ignorerar standardinställningarna i den berörda fasta programvaran misslyckad validering och kör programmet ändå. Detta gör i praktiken funktionen verkningslös med standardinställningarna.
Via sin Github listar Potocki de moderkortsmodeller samt UEFI-versioner som är berörda. Vidare ska inga bärbara datorer från MSI vara påverkade av detta och de flesta påverkade UEFI-versionerna är släppta efter September år 2021. Potocki har sökt kontakt med MSI gällande säkerhetsbristen men har hittills inte fått något svar från tillverkaren.
Uppdatering 2023-01-20 10:40:
Under torsdagskvällen besvarade MSI slutligen de väckta frågorna rörande säkerhetsbristen i bolagets moderkort, något som anlände i form av ett officiellt uttalande i MSI:s underforum på Reddit.
MSI implemented the Secure Boot mechanism in our motherboard products by following the design guidance defined by Microsoft and AMI before the launch of Windows 11. We preemptively set Secure Boot as Enabled and "Always Execute" as the default setting to offer a user-friendly environment that allows multiple end-users flexibility to build their PC systems with thousands (or more) of components that included their built-in option ROM, including OS images, resulting in higher compatibility configurations. For users who are highly concerned about security, they can still set “Image Execution Policy” as "Deny Execute" or other options manually to meet their security needs.
In response to the report of security concerns with the preset bios settings, MSI will be rolling out new BIOS files for our motherboards with ”Deny Execute” as the default setting for higher security levels. MSI will also keep a fully functional Secure Boot mechanism in the BIOS for end-users so that they can modify it according to their needs.
Där förklarar MSI att de inställningar som uppmärksammats konfigurerats efter rekommendationer från Microsoft inför lanseringen av Windows 11. Det inkluderar alternativet att alltid köra och acceptera alla OS-avbildningar som standard, något de menar är aktiverat för att öka användarvänlighet och kompatibilitet med flera olika alternativ.
Till följd av att det uppmärksammats vilka säkerhetsbrister inställningen potentiellt innebär meddelar MSI att de planerar rulla ut en ny uppdatering, vilken ändrar inställningarna till att inte tillåta det som standard.
