Σύμφωνα με πληροφορίες, περισσότερες από 290 μητρικές κάρτες MSI είναι ευάλωτες σε μια προεπιλεγμένη ρύθμιση UEFI Secure Boot που επιτρέπει την εκκίνηση οποιουδήποτε OS image χωρίς επαλήθευση της υπογραφής. Αυτό σημαίνει ότι ένα λειτουργικό σύστημα μπορεί να εκτελεστεί ακόμη και αν οι υπογραφές του λείπουν ή είναι λανθασμένες!
Αυτή η ανακάλυψη προέρχεται από έναν Πολωνό ερευνητή ασφαλείας ονόματι Dawid Potocki, ο οποίος ισχυρίζεται ότι δεν έλαβε απάντηση παρά τις προσπάθειές του να επικοινωνήσει με την MSI και να τους ενημερώσει για το θέμα.
Σύμφωνα με τον Potocki, το πρόβλημα επηρεάζει αρκετές μητρικές κάρτες MSI με βάση την Intel και την AMD που χρησιμοποιούν μια νέα έκδοση firmware.
Δείτε επίσης: CircleCi: Παραβιάστηκε μέσω info-stealing malware σε laptop υπαλλήλου
UEFI Secure Boot
Το Secure Boot είναι μια δυνατότητα ασφαλείας ενσωματωμένη στο firmware των μητρικών πλακών UEFI που διασφαλίζει ότι μόνο αξιόπιστο (υπογεγραμμένο) λογισμικό μπορεί να εκτελεστεί κατά τη διαδικασία του boot.
Για να εγγυηθεί την ασφάλεια των boot loaders, OS kernels και άλλων επιτακτικών component του συστήματος, το Secure Boot αξιοποιεί το PKI (public key infrastructure) για την επαλήθευση όλου του λογισμικού σε κάθε εκκίνηση της συσκευής. Αυτό επιτρέπει τον έλεγχο ταυτότητας των εν λόγω προγραμμάτων, ώστε να μπορούν να χρησιμοποιηθούν μόνο έγκυρα προγράμματα.
Η ασφαλής εκκίνηση θα εμποδίσει τη συνέχιση της διαδικασίας εκκίνησης εάν το λογισμικό δεν είναι υπογεγραμμένο ή η υπογραφή του έχει τροποποιηθεί, κάτι που θα μπορούσε να αποτελεί ένδειξη παραποίησης. Με αυτόν τον τρόπο, το Secure Boot διατηρεί τα δεδομένα σας ασφαλή και προστατευμένα στον υπολογιστή σας.
Αυτό το σύστημα ασφαλείας είναι ειδικά σχεδιασμένο για να προστατεύει από bootkits UEFI και rootkits, καθώς και για να ειδοποιεί τους χρήστες εάν το λειτουργικό σύστημα έχει τροποποιηθεί από τότε που παραδόθηκε από τον προμηθευτή.
Δείτε επίσης: Zoho RCE: Κυκλοφορεί Proof-of-Concept για επικίνδυνο σφάλμα
Οι προεπιλεγμένες ρυθμίσεις MSI προκαλούν επισφαλή boots
Σύμφωνα με τον Potocki, η MSI κυκλοφόρησε το “7C02v3C”, μια ενημερωμένη έκδοση firmware στις 18 Ιανουαρίου 2022, η οποία άλλαξε την προεπιλεγμένη ρύθμιση Secure Boot των μητρικών πλακετών της σε βαθμό που να εξακολουθεί να εκκινεί ακόμα και αν εντοπιστούν παραβιάσεις ασφαλείας.
Αυτή η αλλαγή ήταν να ορίσει κατά λάθος τη ρύθμιση “Image Execution Policy” στο Firmware σε “Always Execute” από προεπιλογή, επιτρέποντας σε οποιαδήποτε εικόνα να εκκινήσει τη συσκευή κανονικά.
Όπως απεικονίζεται στην παραπάνω εικόνα, το Secure Boot είναι ενεργοποιημένο, αλλά η ρύθμιση της ‘Image Execution Policy’ εξακολουθεί να είναι στο “Always Execute”, επιτρέποντας στον υπολογιστή σας να εκκινεί ακόμη και όταν υπάρχουν παραβιάσεις ασφαλείας.
Παρακάμπτοντας την ασφαλή εκκίνηση, επιτρέπει τη χρήση μη επαληθευμένων εικόνων για την εκκίνηση της συσκευής σας.
Δείτε επίσης: Κακόβουλα πακέτα PyPi ‘Lolip0p’ εγκαθιστούν info-stealing malware
Ο Potocki εξηγεί ότι οι χρήστες θα πρέπει να ορίσουν το Execution Policy σε “Deny Execute” για “Removable Media” και “Fixed Media”, τα οποία θα πρέπει να επιτρέπουν την εκκίνηση μόνο υπογεγραμμένου λογισμικού.
Μετά από ενδελεχή ανάλυση, ο ερευνητής ανακάλυψε ότι η MSI δεν είχε ποτέ τεκμηριώσει τις αλλαγές της, οπότε αναγκάστηκε να εντοπίσει την εισαγωγή αυτής της επισφαλούς προεπιλογής χρησιμοποιώντας το IFR (UEFI Internal Form Representation) προκειμένου να εξαγάγει πληροφορίες για τις επιλογές configuration.
Οπλισμένος με αυτές τις πληροφορίες, ο Potocki μπόρεσε να εξακριβώσει ποιες μητρικές κάρτες MSI επηρεάζονταν από το ζήτημα. Ένας κατάλογος με περισσότερες από 290 επηρεαζόμενες μητρικές κάρτες έχει δημοσιευτεί στο GitHub για να έχουν όλοι πρόσβαση.
Για ένα επιπλέον επίπεδο ασφάλειας για την MSI μητρική σας, ρίξτε μια γρήγορη ματιά στις ρυθμίσεις του BIOS για να βεβαιωθείτε ότι το “Image Execution Policy” έχει οριστεί σε κάτι ασφαλές.
Εάν δεν έχετε αναβαθμίσει το firmware της μητρικής πλακέτας από τον Ιανουάριο του 2022, η εισαγωγή μιας κακήε προεπιλογής δεν θα πρέπει να αποτελεί λόγο για περαιτέρω αναβολή, καθώς οι ενημερώσεις λογισμικού περιέχουν σημαντικές διορθώσεις ασφαλείας.
Πηγή πληροφοριών: bleepingcomputer.com
