MSI hanteert op honderden moederborden onveilige instelling voor Secure Boot

[Captain Kirk]

MSI hanteert op honderden moederborden een onveilige instelling voor Secure Boot, waardoor de feature net zo goed uit had kunnen staan, zo stelt beveiligingsonderzoeker Dawid Potocki. Secure Boot moet ervoor zorgen dat alleen software wordt geladen die de fabrikant vertrouwt. Tijdens het starten van de pc controleert de firmware de digitale handtekening van de bootsoftware, firmware-drivers, EFI-applicaties en het besturingssysteem.

Door de controle moet de installatie van bijvoorbeeld rootkits worden voorkomen. MSI heeft in de eigen firmware echter een aanpassing aan Secure Boot doorgevoerd, waardoor het systeem ook bij overtredingen van de Security Boot policy zal starten, zo stelt Potocki. Hierdoor is het mogelijk om elk willekeurig OS-image te laden, ongeacht of die wordt vertrouwd of niet. Het gaat specifiek om de Image Execution Policy, die standaard op altijd uitvoeren staat. Daardoor wordt het systeem ook bij policy-overtredingen gestart.

Het probleem zou begin 2021 in de firmware van MSI zijn geïntroduceerd. Potocki stelt dat hij MSI heeft gewaarschuwd, maar geen reactie van de elektronicafabrikant kreeg. Het probleem speelt bij zo'n driehonderd verschillende MSI-moederborden. Gebruikers van een MSI-moederbord wordt aangeraden om bij Image Execution Policy de optie "Always Execute" op "Deny Execute" voor "Removable Media" en "Fixed Media" te zetten.

 

bron: https://www.security.nl