Польский исследователь безопасности Давид Потоцкий выяснил, что более 290 материнских плат MSI из-за неправильных параметров настройки безопасной загрузки UEFI позволяют запускать любой образ операционной системы.
Проблема затрагивает многие материнские платы MSI на базе Intel и AMD, которые используют последнюю версию прошивки. Безопасная загрузка — это функция, встроенная в прошивку материнских плат UEFI. Она гарантирует, что только доверенное программное обеспечение может выполняться во время процесса загрузки. При запуске ПК микропрограмма проверяет подпись каждой части загрузочного программного обеспечения, включая драйверы микропрограммы UEFI, приложения EFI и операционную систему. Если подписи действительны, компьютер загружается, а прошивка передаёт управление операционной системе.
Чтобы убедиться в безопасности загрузчиков, ядер ОС и других важных системных компонентов, безопасная загрузка проверяет PKI (инфраструктуру открытых ключей), которая аутентифицирует программное обеспечение и определяет его достоверность при каждой загрузке. Если ПО не подписано или его подпись была изменена, процесс загрузки будет остановлен.
Потоцкий утверждает, что версия обновления прошивки MSI «7C02v3C», выпущенная 18 января 2022 года, изменила настройку безопасной загрузки по умолчанию на материнских платах MSI, и система будет загружаться, даже если обнаружит нарушения безопасности.
Исследователь решил настроить безопасную загрузку на рабочем столе с помощью sbctl. Он обнаружил, что прошивка принимает каждый образ ОС независимо от того, доверенный он или нет. Потоцкий обнаружил, что MSI изменила настройки безопасной загрузки по умолчанию. По ошибке для параметра «Политика выполнения образа» в прошивке установили значение «Всегда выполнять» по умолчанию.
Как видно на изображении выше, даже несмотря на то, что безопасная загрузка включена, параметр «Политика выполнения образов» установлен на «Всегда выполнять», что позволяет системе загружаться, даже если есть нарушения безопасности.
Потоцкий объясняет, что пользователи должны установить политику выполнения на «Запретить выполнение» для «Съёмных носителей» и «Фиксированных носителей».
Исследователь отмечает, что MSI никогда не документировала это изменение, поэтому ему пришлось отслеживать введение небезопасного значения по умолчанию с использованием IFR (представление внутренней формы UEFI) для извлечения информации о параметрах конфигурации.
Затем Потоцкий использовал эту информацию, чтобы определить, какие материнские платы MSI затронуты проблемой. Полный список из более 290 материнских плат доступен на GitHub.
Владельцам этих плат рекомендуется перейти в настройки BIOS и убедиться, что для параметра «Политика выполнения образов» выбран безопасный вариант. Если прошивка материнской платы не обновлялась с января 2022 года, то следует сделать это, поскольку обновления содержат важные исправления безопасности.
Потоцкий обратился к MSI по поводу обнаруженной проблемы, но не получил ответа.
В январе 2022 года MSI вопреки требованию Intel включила поддержку старого микрокода AVX-512 в одной из версий прошивки. Intel убрала официальную поддержку AVX-512 из процессоров 12-го поколения Alder Lake.
