Nieuws

Secure Boot met MSI-moederbord toch onveilig

MSI moederbord
Op meer dan driehonderd moederborden van MSI heeft de functie ‘Secure Boot’ weinig nut. De functie voorkomt het installeren van onbekende software, maar met de moederborden kan het toch.

In normale omstandigheden zorgt ‘Secure Boot’ ervoor dat enkel software gestart kan worden die de moederbordfabrikant vertrouwt. Besturingssystemen, bootloaders, firmware-drivers en EFI-toepassingen krijgen daarvoor een veiligheidssleutel die in de secure boot-database opgenomen moet zijn. Wordt een veiligheidssleutel niet herkend, dan weigert het systeem dienst en zal het niet opstarten. Alleen: met moederborden van MSI kan het toch.

MSI paste voor zijn moederborden een aantal eigenschappen van Secure Boot aan, waardoor de beveiliging niet meer waterdicht is. Het probleem werd ontdekt door beveiligingsonderzoeker Dawid Potocki. Hij meent dat het systeem altijd zal opstarten, ook als de bewuste firm- of software niet herkend wordt door het moederbord. Je zou de functie dus net zo goed kunnen uitzetten.

Aan de oorzaak van het probleem ligt een standaardinstelling die bij MSI anders staat dan bij moederborden van andere fabrikanten. Het gaat om de ‘Image Execution Policy’, die bepaalt of bepaalde software geladen mag worden of niet. Het antwoord van een MSI-moederbord is een volmondige “Ja!”, al kan dat je blootstellen aan allerlei software die je liever niet op je systeem hebt staan.

Probleem rechtzetten

Om het opstarten opnieuw te beveiligen, dienen gebruikers een BIOS-instelling aan te passen. Door bij de instelling voor ‘Image Execution Policy’ een aantal veranderingen te doen, dicht je dit veiligheidslek. Standaard staat die voor zowel “removable media” zoals USB-sticks en “fixed media” op “always execute”. Door die instelling op “Deny execute” te zetten beveilig je het systeem opnieuw. Om later voor het systeem onbekende software te installeren kan je deze instelling altijd terugzetten.

Tussen de getroffen moederborden zitten er zowel voor Intel CPU’s als AMD-chips. Wil je weten of secure boot bij jou ook ‘uitgeschakeld’ staat? Kijk dan tussen deze lijst of je moederbord ertussen staat.

hardwaremoederbordmsi

Gerelateerde artikelen

Volg ons

Het is Black Friday bij bol.com!

Het is Black Friday bij bol.com!

Deals scoren