MSI ha inavvertitamente disattivato la protezione Secure Boot su oltre 290 schede madri. Il ricercatore Dawid Potocki ha scoperto il problema di sicurezza nel firmware UEFI della sua scheda madre e in molti altri firmware rilasciati a partire da fine 2021. L’azienda taiwanese non ha risposto a nessuna richiesta di chiarimenti.
MSI permette l’installazione di bootkit
Secure Boot è una funzionalità di sicurezza che impedisce l’avvio di sistemi operativi non firmati. All’avvio, il firmware UEFI verifica la firma e, solo se quest’ultima è valida, passa il controllo al sistema operativo. Se alcuni dei componenti software (driver inclusi) non sono firmati o la firma è cambiata, la procedura di boot viene bloccata. Ma se la funzionalità non è attiva, i cybercriminali possono installare bootkit o rootkit.
Il ricercatore Dawid Potocki ha scoperto che nel firmware 7C02v3C della sua scheda madre MSI B450 TOMAHAWK MAX sono state impostate a “Always Execute” tutte le opzioni della Image Execute Policy
in Security -> Secure Boot
. Ciò significa che non viene effettuato nessun controllo della firma. L’impostazione corretta dovrebbe essere “Deny Execute“.
Utilizzando i tool UEFIExtract e IFRExtractor RS, il ricercatore ha analizzato il codice di altri firmware scoprendo che il problema di sicurezza riguarda oltre 290 schede madri. L’elenco completo è disponibile su GitHub. Non è chiaro perché MSI ha cambiato l’impostazione predefinita. Il produttore taiwanese non ha risposto alle email inviate da Dawid Potocki.
Aggiornamento (20/01/2022): MSI ha comunicato che l’intenzione era offrire una maggiore flessibilità agli utenti nell’assemblaggio dei PC. Il produttore rilascerà nuovi BIOS che ripristinano “Deny Execute” come impostazione predefinita.