Secure Boot met MSI-moederbord toch onveilig
In normale omstandigheden zorgt ‘Secure Boot’ ervoor dat enkel software gestart kan worden die de moederbordfabrikant vertrouwt. Besturingssystemen, bootloaders, firmware-drivers en EFI-toepassingen krijgen daarvoor een veiligheidssleutel die in de secure boot-database opgenomen moet zijn. Wordt een veiligheidssleutel niet herkend, dan weigert het systeem dienst en zal het niet opstarten. Alleen: met moederborden van MSI kan het toch.
MSI paste voor zijn moederborden een aantal eigenschappen van Secure Boot aan, waardoor de beveiliging niet meer waterdicht is. Het probleem werd ontdekt door beveiligingsonderzoeker Dawid Potocki. Hij meent dat het systeem altijd zal opstarten, ook als de bewuste firm- of software niet herkend wordt door het moederbord. Je zou de functie dus net zo goed kunnen uitzetten.
Aan de oorzaak van het probleem ligt een standaardinstelling die bij MSI anders staat dan bij moederborden van andere fabrikanten. Het gaat om de ‘Image Execution Policy’, die bepaalt of bepaalde software geladen mag worden of niet. Het antwoord van een MSI-moederbord is een volmondige “Ja!”, al kan dat je blootstellen aan allerlei software die je liever niet op je systeem hebt staan.
Probleem rechtzetten
Om het opstarten opnieuw te beveiligen, dienen gebruikers een BIOS-instelling aan te passen. Door bij de instelling voor ‘Image Execution Policy’ een aantal veranderingen te doen, dicht je dit veiligheidslek. Standaard staat die voor zowel “removable media” zoals USB-sticks en “fixed media” op “always execute”. Door die instelling op “Deny execute” te zetten beveilig je het systeem opnieuw. Om later voor het systeem onbekende software te installeren kan je deze instelling altijd terugzetten.
Tussen de getroffen moederborden zitten er zowel voor Intel CPU’s als AMD-chips. Wil je weten of secure boot bij jou ook ‘uitgeschakeld’ staat? Kijk dan tussen deze lijst of je moederbord ertussen staat.