MSI: A Secure Boot ellenőrzés hiányos
A Secure Boot egy iparági szabvány, amely biztosítja, hogy a Windows-eszközök ne töltsenek be rosszindulatú firmware-t vagy szoftvert az indítási folyamat során. Ha be van kapcsolva – ahogy a legtöbb esetben kell, és ez a Microsoft által előírt alapértelmezett beállítás –, akkor az jó a felhasználó számára. Az elmúlt 18 hónapban azonban az MSI által gyártott több mint 300 alaplapmodell nem mindegyikén volt ez a funkció bekapcsolva.
A 2011-ben bevezetett Secure Boot bizalmi láncot hoz létre az eszközt indító hardver és szoftver, vagy firmware között. A Secure Boot előtt az eszközök BIOS-t használtak, amelyet egy chipre telepítettek, a rendszerindításra, a merevlemezek, CPU-k, memória és egyéb hardverek felismerésére és elindítására. Ha végzett, ez a mechanizmus betöltötte a rendszerbetöltőt, amely aktiválja a Windows indításához szükséges feladatokat és folyamatokat.
A probléma: A BIOS minden rendszertöltőt betölt, amely a megfelelő könyvtárban található. Ez lehetővé tette a hackerek számára, akik rövid ideig hozzáfértek egy eszközhöz, hogy rosszindulatú rendszerbetöltőket telepítsenek, amelyek viszont rosszindulatú firmware-t vagy Windows-t futtattak.
Körülbelül egy évtizede a BIOS-t lecserélték az UEFI-re (Unified Extensible Firmware Interface), egy önálló operációs rendszerre, amely megakadályozhatja a megbízható gyártók által digitálisan alá nem írt rendszer-illesztőprogramok vagy rendszerbetöltők betöltését.
Az UEFI mind a megbízható, mind a visszavont aláírásokat tartalmazó adatbázisokat használja, amelyeket az OEM-ek a gyártáskor betöltenek az alaplapok nem felejtő memóriájába. Az aláírások felsorolják minden engedélyezett rendszerbetöltő vagy UEFI által vezérelt alkalmazás aláíróit és ezek kivonatait, ami így bizalmi láncot alakít ki. Ez a lánc biztosítja, hogy az eszköz biztonságosan elinduljon, olyan kód használatával, amely ismert és megbízható. Ha ismeretlen kód betöltése van ütemezve, a Secure Boot leállítja az indítási folyamatot.
Egy kutató és diák nemrég fedezte fel, hogy a tajvani MSI több mint 300 alaplapmodellje alapértelmezés szerint nem valósítja meg a Secure Boot funkciót, és lehetővé teszi bármely rendszerbetöltő futtatását. A kutatók szerint a meghibásodott Secure Boot annak az eredménye, hogy az MSI megmagyarázhatatlan módon megváltoztatta alapértelmezett beállításait.