image

MSI hanteert op honderden moederborden onveilige instelling voor Secure Boot

dinsdag 17 januari 2023, 11:45 door Redactie, 6 reacties

MSI hanteert op honderden moederborden een onveilige instelling voor Secure Boot, waardoor de feature net zo goed uit had kunnen staan, zo stelt beveiligingsonderzoeker Dawid Potocki. Secure Boot moet ervoor zorgen dat alleen software wordt geladen die de fabrikant vertrouwt. Tijdens het starten van de pc controleert de firmware de digitale handtekening van de bootsoftware, firmware-drivers, EFI-applicaties en het besturingssysteem.

Door de controle moet de installatie van bijvoorbeeld rootkits worden voorkomen. MSI heeft in de eigen firmware echter een aanpassing aan Secure Boot doorgevoerd, waardoor het systeem ook bij overtredingen van de Security Boot policy zal starten, zo stelt Potocki. Hierdoor is het mogelijk om elk willekeurig OS-image te laden, ongeacht of die wordt vertrouwd of niet. Het gaat specifiek om de Image Execution Policy, die standaard op altijd uitvoeren staat. Daardoor wordt het systeem ook bij policy-overtredingen gestart.

Het probleem zou begin 2021 in de firmware van MSI zijn geïntroduceerd. Potocki stelt dat hij MSI heeft gewaarschuwd, maar geen reactie van de elektronicafabrikant kreeg. Het probleem speelt bij zo'n driehonderd verschillende MSI-moederborden. Gebruikers van een MSI-moederbord wordt aangeraden om bij Image Execution Policy de optie "Always Execute" op "Deny Execute" voor "Removable Media" en "Fixed Media" te zetten.

Reacties (6)
17-01-2023, 12:05 door Anoniem
Ze moeten misschien vaker efi updates uitbrengen als efi software patch tegen mogelijk lekken.
17-01-2023, 12:18 door Anoniem
Het is nog niet zo zeker of dat voor of nadelen heeft. Het vertraagt in ieder geval als het aan staat. En ook kan het oude lekker drivers enzo voortrekken op nieuwe unsigned drivers.
17-01-2023, 12:33 door Anoniem
Voor mij is het ontbreken van Secure Boot een extra koop argument. Net als een CSM mode om zonder UEFI op te starten.

Zolang besturingssystemen dat ondersteunen, gaat mijn voorkeur daarnaar uit. Al die bij introductie verouderde crypto onzin hoeft van mij niet. In mijn situatie (een desktop waar niemand als ikzelf bij kan) voegt het niets toe. Mijn computer is van mij, niet van Microsoft of Intel.
17-01-2023, 17:14 door Anoniem
Hierdoor is het mogelijk om elk willekeurig OS-image te laden
Precies wat gebruikers willen, probleem opgelost :-)
17-01-2023, 17:14 door Anoniem
Secure Boot is een Windows "dingetje", als je een ander Os gebruikt is het totaal onnodig.
18-01-2023, 13:19 door Anoniem
Door Anoniem: Secure Boot is een Windows "dingetje", als je een ander Os gebruikt is het totaal onnodig.
Blijkbaar vindt MSI dat eigenlijk ook.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.