Mais de 290 placas-mãe da MSI foram afetadas por configurações inseguras de UEFI Secure Boot que permitem que qualquer imagem do sistema operacional seja executada, independentemente de ter uma assinatura errada ou ausente. A descoberta foi feita pelo pesquisador de segurança polonês Dawid Potocki, que afirma não ter recebido uma resposta, apesar de seus esforços para entrar em contato com a MSI e informá-los sobre o problema.
O problema, de acordo com Potocki, afeta muitas placas-mãe MSI baseadas em chips Intel e AMD que usam uma versão de firmware recente, afetando até mesmo os novos modelos de placas-mãe MSI. O Secure Boot é um recurso de segurança incorporado ao firmware das placas-mãe UEFI que garante que apenas softwares confiáveis (assinados) possam ser executados durante o processo de inicialização.
“Quando o PC é iniciado, o firmware verifica a assinatura de cada parte do software de inicialização, incluindo drivers de firmware UEFI (também conhecidos como ROMs opcionais), aplicativos EFI e sistema operacional”, explica a Microsoft em um artigo sobre inicialização segura. “Se as assinaturas forem válidas, o PC inicializa e o firmware dá controle ao sistema operacional.”
Para validar a segurança dos carregadores de inicialização, kernels do sistema operacional e outros componentes essenciais do sistema, o Secure Boot verifica a PKI (infraestrutura de chave pública) que autentica o software e determina sua validade em cada inicialização. Se o software não estiver assinado ou sua assinatura for alterada, possivelmente porque foi modificado, o processo de inicialização será interrompido pelo Secure Boot para proteger os dados armazenados no computador.
Este sistema de segurança foi projetado para impedir que bootkits/rootkits UEFI (1, 2, 3) sejam iniciados no computador e para avisar os usuários de que seu sistema operacional foi adulterado depois que o fornecedor enviou o sistema.
Potocki afirma que as atualizações de firmware da MSI lançadas entre setembro de 2021 e janeiro de 2022 alteraram uma configuração padrão de inicialização segura nas placas-mãe MSI para que o sistema inicialize mesmo que detecte violações de segurança.
“Decidi configurar o Secure Boot em minha nova área de trabalho com a ajuda do sbctl. Infelizmente, descobri que meu firmware estava aceitando todas as imagens de sistema operacional que dei, independentemente de ser confiável ou não”, explica o pesquisador em seu artigo. “Como descobri mais tarde, em 16/12/2022, não foi apenas um firmware quebrado; a MSI alterou seus padrões de inicialização segura para permitir a inicialização em violações de segurança.”
Essa alteração foi para definir erroneamente a configuração “Política de Execução de Imagem” no firmware como “Sempre Executar” por padrão, permitindo que qualquer imagem inicialize o dispositivo normalmente.
Veja isso
Novas placas da Nvidia bloqueiam mineração
PC isolado vulnerável a roubo de dados por onda eletromagnética
Potocki explica que os usuários devem definir a Política de Execução como “Negar Execução” para “Mídia Removível” e “Mídia Fixa”, o que deve permitir apenas a inicialização do software assinado.
O pesquisador diz que a MSI nunca documentou a mudança, então ele teve que rastrear a introdução do padrão inseguro usando IFR (UEFI Internal Form Representation) para extrair informações de opções de configuração.
Potocki usou essas informações para determinar quais placas-mãe MSI foram afetadas pelo problema. Uma lista completa das mais de 290 placas-mãe e versões de firmware afetadas por essa configuração insegura está disponível no GitHub. Quem estiver usando uma placa-mãe MSI nessa lista, vá para as configurações do BIOS e verifique se a “Política de Execução de Imagem” está definida como uma opção segura.
Quem ainda não atualizou o firmware da placa-mãe desde janeiro de 2022, a introdução de um padrão incorreto não deve ser motivo para adiá-lo ainda mais, pois as atualizações de software contêm importantes correções de segurança.
O BleepingComputer entrou em contato com a MSI para comentar a descoberta do pesquisador e se a empresa planeja alterar a configuração padrão por meio de uma nova atualização, mas não obteve resposta.