MSI matične ploče imaju opasan bezbednosni propust
Secure Boot je industrijski standard koji osigurava da Windows uređaji neće upisati maliciozni firmware ili software tokom startup procesa. Ako je ova opcija uključena (što bi trebalo da bude podrazumevano, jer to zahteva Microsoft) korisnici su zaštićeni. Međutim, otkriveno je da više od 300 modela matičnih ploča kompanije MSI napravljenih u poslednjih godinu i po dana ima ovu opciju isključenu.
Secure Boot je predstavljen 2011. godine, čime je uspostavljen sistem bezbednosti između hardvera i softvera (ili firmvera) prilikom pokretanja uređaja. Pre ovog sistema, uređaji su upotrebljavali BIOS koji je bio instaliran na čipu. On je davao uputstvo kako da se sistem podigne i prepoznavao je priključene uređaje (hard diskove, procesore, memoriju…). Po završetku tog procesa, ovaj mehanizam je učitavao bootloader, koji je aktivirao taskove i procese za učitavanje Windows-a. Problem je bio što je BIOS učitavao bilo koji bootloader koji je bio lociran u odgovarajućem folderu. To je hakerima omogućavalo da podmetanjem lažnog bootloader-a pokrenu maliciozni firmware ili Windows image.
Pre desetak godina, BIOS je zamenjen sa UEFI-jem (UNIFIED Extensible Firmware Interface), posebnim OS-om koji je sposoban da zabrani učitavanje sistemskih drajvera ili bootloader-a koji nisu digitalno potpisani od strane proizvođača. UEFI se oslanja na baze proverenih i odbijenih potpisa koje proizvođači učitavaju u trajnu memoriju matičnih ploča tokom njihove proizvodnje. Ukoliko otkrije nepoznati kod, Secure Boot će zaustaviti startup proces.
Nedavno je otkriveno da matične ploče tajvanskog proizvođača MSI podrazumevano imaju isključen Secure Boot, čime omogućavaju da se pokrene bilo koji bootloader. Ustanovljeno je da je MSI bez objašnjenja promenio podrazumevana setovanja. Srećom, rešenje problema nije komplikovano. Korisnici koji žele da uključe Secure Boot (a to bi trebalo da urade svi), potrebno je da pristupe meniju svojih matičnih ploča, držanjem tastera DEL tokom startovanja računara.
Zatim je potrebno otvoriti meni Security/Secure Boot (ili sa nekim sličnim nazivom), nakon čega treba odabrati Image Execution Policy opciju. Ukoliko matična ploča ima isključen Secure Boot, opcije „Removable Media“ i „Fixed Media“ biće postavljene na „Always Execute“. Ove dve opcije je potrebno promeniti u „Deny Execute“.
MSI je potvrdio ove nalaze i najavio je da će objaviti nove verzije firmware-a za svoje matične ploče u kojima će ova setovanja biti podrazumevano postavljena na „Deny Execute“.
Izvor: ArsTechica