Secure Boot MSI

Πριν ξεκινήσουμε, ας εξηγήσουμε γρήγορα τι είναι η Ασφαλής Εκκίνηση. Πρόκειται για ένα χαρακτηριστικό ασφαλείας, το οποίο επιτρέπει στον υπολογιστή μας να αρνείται την εκκίνηση λειτουργικών συστημάτων που δεν έχουν υπογραφεί από ένα κλειδί το οποίο εμπιστεύεται το υλικολογισμικό. Ο ερευνητής που αναφέρει ο τίτλος, διαπίστωσε ότι καθώς ρύθμιζε το Secure Boot, το firmware της μητρικής της MSI δεχόταν κάθε εικόνα λειτουργικού συστήματος, ανεξάρτητα αν ήταν έμπιστο ή όχι. Στις 16 Δεκεμβρίου του 2022, εντόπισε πως όχι μόνο ήταν χαλασμένο το firmware, αλλά η MSI είχε αλλάξει τις προεπιλογές του Secure Boot για να επιτρέπει την εκκίνηση σε παραβιάσεις ασφαλείας!

Αυτό μπορείτε να το αλλάξετε πηγαίνοντας στο σημείο όπου βρίσκονται οι ρυθμίσεις για την Ασφαλή Εκκίνηση στη μητρική σας πλακέτα. Ελέγξτε αν είναι στο Security\Secure Boot. Από εκεί, μπορείτε να δείτε ένα μενού που ονομάζεται “Image Execution Policy”, το οποίο είναι ο ένοχος για το παραπάνω πρόβλημα.

Το Secure boot στα Windows 11.

Μεταξύ των απαιτήσεων για την εγκατάσταση των Windows 11 περιλαμβάνονται δύο χαρακτηριστικά ασφαλείας: TPM (Trusted Platform Module) έκδοση 2.0 και Secure Boot. Είναι δυνατό να παρακάμψετε αυτές τις απαιτήσεις και να εξαναγκάσετε την εγκατάσταση ή αναβάθμιση των Windows 11 ούτως ή άλλως. Η Microsoft δημοσίευσε ακόμη και ένα “hack” στο μητρώο για να δώσει στους χρήστες αυτή τη δυνατότητα. Έτσι, αν προχωρήσετε σε αυτή την εγκατάσταση χωρίς ενεργοποιημένη την TPM 2.0 ή την Secure Boot, τόσο το μενού εγκατάστασης όσο και το λειτουργικό σύστημα διαμαρτύρονται σε διάφορα σημεία της διαδρομής, καθώς η Microsoft θέλει πραγματικά να είναι παρόντα και ενεργά αυτά τα χαρακτηριστικά ασφαλείας.

Οι κατασκευαστές υλικού υπολογιστών εργάζονται επίσης για να συμμορφωθούν με τα νέα πρότυπα ασφαλείας της Microsoft, συμπεριλαμβάνοντας και ενεργοποιώντας από προεπιλογή τα TPM 2.0 και Secure Boot. Ωστόσο, σύμφωνα με νέα ευρήματα του προαναφερόμενου ερευνητή ασφαλείας, οι προεπιλεγμένες ρυθμίσεις Secure Boot στις μητρικές κάρτες MSI ξεγελούν αποτελεσματικά τα Windows 11 και δίνουν στους χρήστες μια ψευδή αίσθηση ασφάλειας.

Τι κάνει το Secure boot στις μητρικές κάρτες της MSI;

Η ασφαλής εκκίνηση (Secure Boot) λειτουργεί για την προστασία των υπολογιστών από απειλές, ελέγχοντας τις υπογραφές όλου του λογισμικού που επιχειρεί να εκκινήσει, στη συνέχεια, πραγματοποιεί εκκίνηση του συστήματος μόνο αν οι υπογραφές αυτές επιβεβαιώνουν ότι το λογισμικό είναι αξιόπιστο από τον κατασκευαστή αρχικού εξοπλισμού (OEM). Αυτή η λειτουργία προορίζεται να αποτρέψει κακόβουλα και ανθεκτικά λογισμικά κατά την εκκίνηση του συστήματος.

MSI Secure boot πρόβλημα.
Η ασφαλή εκκίνηση είναι ενεργοποιημένη άλλα η ρύθμιση είναι “προσαρμοσμένη”.

Όσοι διαθέτουν μητρικές πλακέτες MSI μπορεί να έχουν παρατηρήσει ότι το Secure Boot αναφέρεται ως ενεργοποιημένο από προεπιλογή, τόσο στο BIOS όσο και στα Windows. Ωστόσο, όπως ανακάλυψε πρόσφατα ο Dawid Potocki (ο ερευνητής που αναφέραμε), αυτές οι ενδείξεις δεν αρκούν για να επαληθεύσετε ότι το Secure Boot λειτουργεί σωστά. Όπως μπορείτε να δείτε στην παραπάνω εικόνα, ενώ το Secure Boot επισημαίνεται ως “Enabled” στο BIOS, το Secure Boot Mode έχει οριστεί σε “Custom”, ενεργοποιώντας μια ομάδα υπομενού με περαιτέρω ρυθμίσεις Secure Boot.

Διαβάστε επίσης: Πότε θα μειωθούν οι τιμές στις κάρτες γραφικών, επεξεργαστές και στα προϊόντα τεχνολογίας;

Κανόνες της ασφαλής εκκίνησης στις μητρικές της MSI.

Ένα από αυτά τα υπομενού, με την ονομασία “Πολιτική εκτέλεσης εικόνας” (Image Execution Policy), περιέχει κανόνες που καθορίζουν υπό ποιες συνθήκες η Ασφαλής εκκίνηση θα επιτρέψει την εκκίνηση λογισμικού. Για να λειτουργήσει η Ασφαλής Εκκίνηση όπως προβλέπεται, αυτοί οι κανόνες πρέπει να οριστούν στην επιλογή “Deny Execute” (Απαγόρευση εκτέλεσης), η οποία θα αποτρέψει την εκκίνηση λογισμικού όταν υπάρχει παραβίαση της ασφάλειας.

Ωστόσο, σύμφωνα με την έρευνα του Dawid Potocki, η προεπιλεγμένη διαμόρφωση για ένα ευρύ φάσμα μητρικών πλακετών MSI έχει όλους αυτούς τους κανόνες ρυθμισμένους σε “Always Execute” (Να εκτελείται πάντα). Αυτή η επιλογή ουσιαστικά παρακάμπτει την Ασφαλή Εκκίνηση, καθώς το σύστημα θα εκκινήσει οποιοδήποτε λογισμικό κατά την εκκίνηση, ανεξάρτητα από το αν φέρει υπογραφή που η Ασφαλής Εκκίνηση αναγνωρίζει ως ασφαλή. Έτσι, πολλές μητρικές κάρτες MSI φαίνεται να ικανοποιούν την απαίτηση ασφαλείας των Windows 11, επισημαίνοντας την ασφαλή εκκίνηση ως “Ενεργοποιημένη”, ενώ λειτουργούν σύμφωνα με κανόνες με το ίδιο αποτέλεσμα όπως αν η ασφαλής εκκίνηση ήταν απενεργοποιημένη.

Always execute bios msi, secure boot προσπέλαση.
Είναι ενεργοποιημένη η επιλογή “Να εκτελείται πάντα” με αποτέλεσμα να εκκινείται οποιοδήποτε λογισμικό στην έναρξη του συστήματος μας.

Τι προβλήματα μπορεί να προκαλέσει το “Always Execute” στο Bios της MSI;

Αυτή η προεπιλεγμένη διαμόρφωση αποτελεί ευεργέτημα για τους φορείς απειλών, επιτρέποντάς τους να εμφυτεύουν μόνιμο κακόβουλο λογισμικό σε συστήματα που έχουν παραβιαστεί χωρίς να χρειάζεται να παρακάμψουν το Secure Boot με κάποιο exploit. Δυστυχώς, δεν φαίνεται ότι η MSI είναι πρόθυμη να αναγνωρίσει αυτό το πρόβλημα, καθώς οι προσπάθειες του Potocki να επικοινωνήσει με την εταιρεία έχουν μέχρι στιγμής αγνοηθεί. Ωστόσο, οι χρήστες μπορούν να διορθώσουν αυτό το κενό ασφαλείας μόνοι τους μπαίνοντας στο BIOS και αλλάζοντας τους κανόνες “Always Execute” σε “Deny Execute”.

Επίλογος και συμπεράσματα.

Δεδομένου ότι ο πλήρης κατάλογος των επηρεαζόμενων μητρικών πλακετών της MSI είναι εκατοντάδες γραμμές, δεν θα τον αντιγράψουμε εδώ. Ενθαρρύνουμε όσους διαθέτουν μητρικές κάρτες MSI να ελέγξουν τη λίστα στο GitHub για τους αριθμούς των μοντέλων τους ή να εισέλθουν στο BIOS και να ελέγξουν οι ίδιοι τις ρυθμίσεις Secure Boot. Η διαδικασία είναι πολύ απλή και σίγουρα θα βοηθήσετε το σύστημα σας να παραμείνει ασφαλές από κακόβουλες επιθέσεις. Αν η MSI τοποθετηθεί δημόσια, ή διορθώσει το πρόβλημα με τις μητρικές της στο μέλλόν με κάποιο BIOS Update, θα σας ενημερώσουμε άμεσα.

Διαβάστε επίσης: Core i9-13900KS. Τιμή, απόδοση, χαρακτηριστικά, κατανάλωση και όσα πρέπει να γνωρίζετε για τη ναυαρχίδα της Intel.

Ακολούθησε το PCsolution316 στο Google News αν σου άρεσε το παραπάνω άρθρο “MSI Secure Boot: Ερευνητής βρήκε ότι η ασφαλής εκκίνηση των Windows 11 στις μητρικές της MSI, είναι “σπασμένη”.” Μην ξεχάσεις να εγγραφείς στο Newsletter.

By Themis

Ο τομέας της τεχνολογίας, δικτύων και υπολογιστών, είναι οι αδυναμίες μου, καθώς και τα ενθουσιώδεις PC builds. Μέσω του Blog θα μοιραστώ μαζί σας ιδέες, προτάσεις αλλά και λύσεις, για να ταξιδέψουμε μαζί στον κόσμο της τεχνολογίας.

Αφήστε μια απάντηση