Wer ein MSI-Mainboard besitzt, sollte sich Sorgen machen. Denn wie der polnische Sicherheitsforscher Dawid Potocki herausgefunden hat, sind zahlreiche MSI-Mainboards mit unsicheren Standardeinstellungen für UEFI Secure Boot ausgestattet. Das bedeutet, dass weiterhin als 290 Hauptplatinen auf Intel- und AMD-Basis mit neueren Firmware-Versionen mit manipulierter Bootsoftware gestartet werden können. Hierbei handelt es sich ebenfalls um einige brandneue Modelle.
UEFI Secure Boot - Was ist das?
UEFI Secure Boot ist ein Sicherheitsfeature, das das Betriebssystem beim Start schützt. Das Feature stellt sicher; dass damit ausgestattete Motherboards beim Bootvorgang nur vertrauenswürdige Software ausführen. Die Firmware gewährleistet dies durch eine Signaturprüfung des ausgeführten Codes. Wenn die Signaturen gültig sind – bootet der PC und die Firmware übergibt die Kontrolle an das Betriebssystem.
Die Gefahr manipulierter Software
Wenn jedoch die Software modifiziert wird, ändert sich auch deren Signatur. Erkennt die UEFI-Firmware eine solche Manipulation, so stoppt sie den Startvorgang um die auf der Festplatte gespeicherten Daten zu schützen.
MSI-Problem: Falsche Standardeinstellung
Mit der am 18. Januar 2022 verteilten Firmware-Version 7C02v3C hat der Hersteller MSI jedoch laut Potocki die Standardeinstellung für UEFI Secure Boot auf seinen Mainboards geändert. Infolgedessen booten die betroffenen Systeme auch dann wenn sie eine Manipulation der Startsoftware feststellen.
Demnach habe der Mainboard-Hersteller offenbar die Einstellung “Image Execution Policy” standardmäßig auf den Wert “Always Execute” gesetzt. Das bedeutet, dass der PC ausnahmslos immer booten darf, egal ob Secure Boot Sicherheitsverstöße erkennt oder nicht. Das Feature das eigentlich das Betriebssystem schützen soll wird dadurch ad absurdum geführt.
Wie kann man sich schützen?
Wenn Sie ein MSI-Mainboard besitzen, empfiehlt Potocki die UEFI Secure Boot-Einstellung im BIOS auf “Deny Execute” zu ändern. Dadurch lässt sich das System nur noch durch signierte Software starten. Die Einstellung finden Sie unter “Security > Secure Boot > Image Execution Policy“.
Keine Stellungnahme von MSI
Potocki hat versucht MSI wegen des Problems zu kontaktieren hat jedoch keine Antwort erhalten. Eine Liste der von der unsicheren Einstellung potenziell betroffenen Motherboards hat der Sicherheitsforscher auf GitHub veröffentlicht.
Kommentare
Wenn Sie ein MSI-Mainboard haben, sollten Sie dringend Ihre UEFI Secure Boot-Einstellung prüfen und sie gegebenenfalls ändern. Denn die unsichere Standardeinstellung von MSI macht Ihr System anfällig für Angriffe.