Secure Boot de centenas de placas-mãe da MSI está quebrado

Segundo o pesquisador de segurança polonês chamado Dawid Potocki, o Secure Boot de centenas de placas-mãe da MSI está quebrado.

Secure Boot é um recurso de segurança incorporado ao firmware das placas-mãe UEFI que garante que apenas softwares confiáveis (assinados) possam ser executados durante o processo de inicialização.

“Quando o PC é iniciado, o firmware verifica a assinatura de cada parte do software de inicialização, incluindo drivers de firmware UEFI (também conhecidos como ROMs opcionais), aplicativos EFI e sistema operacional”, explica a Microsoft em um artigo sobre inicialização segura.

“Se as assinaturas forem válidas, o PC inicializa e o firmware dá controle ao sistema operacional.”

Para validar a segurança dos carregadores de inicialização, kernels do sistema operacional e outros componentes essenciais do sistema, o Secure Boot verifica a PKI (infraestrutura de chave pública) que autentica o software e determina sua validade em cada inicialização.

Se o software não estiver assinado ou sua assinatura for alterada, possivelmente porque foi modificado, o processo de inicialização será interrompido pelo Secure Boot para proteger os dados armazenados no computador.

Este sistema de segurança foi projetado para impedir que bootkits/rootkits UEFI sejam iniciados no computador e para avisar os usuários de que seu sistema operacional foi adulterado depois que o fornecedor enviou o sistema.

Agora, mais de 290 placas-mãe MSI foram supostamente afetadas por configurações inseguras de configuração UEFI Secure Boot que permitem que qualquer imagem do sistema operacional seja executada, independentemente de ter uma assinatura errada ou ausente.

Secure Boot de centenas de placas-mãe da MSI está quebrado

Secure Boot de centenas de placas-mãe da MSI está quebrado
Secure Boot de centenas de placas-mãe da MSI está quebrado

Esta descoberta vem de um pesquisador de segurança polonês chamado Dawid Potocki, que afirma não ter recebido uma resposta, apesar de seus esforços para entrar em contato com a MSI e informá-los sobre o problema.

O problema, de acordo com Potocki, afeta muitas placas-mãe MSI baseadas em Intel e AMD que usam uma versão de firmware recente, afetando até mesmo os novos modelos de placas-mãe MSI.

Potocki afirma que a versão de atualização de firmware da MSI ‘7C02v3C’, lançada em 18 de janeiro de 2022, alterou uma configuração padrão de inicialização segura nas placas-mãe MSI para que o sistema inicialize mesmo que detecte violações de segurança.

“Decidi configurar o Secure Boot em minha nova área de trabalho com a ajuda do sbctl. Infelizmente, descobri que meu firmware estava aceitando todas as imagens de sistema operacional que dei, independentemente de ser confiável ou não”, explica o pesquisador em seu artigo.

“Como descobri mais tarde em 16/12/2022, não foi apenas um firmware quebrado; a MSI alterou seus padrões de inicialização segura para permitir a inicialização em violações de segurança (!!).”

Essa alteração foi para definir erroneamente a configuração “Política de Execução de Imagem” no Firmware como “Sempre Executar” por padrão, permitindo que qualquer imagem inicialize o dispositivo normalmente.

Secure Boot de centenas de placas-mãe da MSI está quebrado
Secure Boot de centenas de placas-mãe da MSI está quebrado – Configuração padrão insegura no firmware MSI mais recente Fonte: dawidpotocki.com

Como você pode ver na imagem acima, mesmo que o Secure Boot esteja ativado, sua configuração ‘Image Execution Policy’ está definida como ‘Always Execute’, permitindo que o sistema inicialize mesmo se houver violações de segurança.

Isso efetivamente interrompe o recurso Secure Boot, pois imagens não confiáveis ainda podem ser usadas para inicializar o dispositivo

Potocki explica que os usuários devem definir a Política de Execução como “Negar Execução” para “Mídia Removível” e “Mídia Fixa”, o que deve permitir apenas a inicialização do software assinado.

Secure Boot de centenas de placas-mãe da MSI está quebrado
Secure Boot de centenas de placas-mãe da MSI está quebrado – Alterando a opção insegura (dawidpotocki.com)

O pesquisador diz que a MSI nunca documentou a mudança, então ele teve que rastrear a introdução do padrão inseguro usando IFR (UEFI Internal Form Representation) para extrair informações de opções de configuração.

Potocki usou essas informações para determinar quais placas-mãe MSI foram afetadas pelo problema. Uma lista completa das mais de 290 placas-mãe afetadas por essa configuração insegura está disponível no GitHub.

Se você estiver usando uma placa-mãe MSI nessa lista, vá para as configurações do BIOS e verifique se a “Política de Execução de Imagem” está definida como uma opção segura.

Se você não atualizou o firmware da placa-mãe desde janeiro de 2022, a introdução de um padrão incorreto não deve ser motivo para adiá-lo ainda mais, pois as atualizações de software contêm importantes correções de segurança.

A BleepingComputer entrou em contato com a MSI para solicitar um comentário sobre o que foi dito acima e se eles planejam alterar a configuração padrão por meio de uma nova atualização, mas ainda estamos aguardando uma resposta.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.