Schede madri MSI, Secure Boot non funziona come dovrebbe?

Le motherboard MSI sono insicure? A puntare il dito contro la società taiwanese è il ricercatore di sicurezza polacco Dawid Potocki, secondo il quale oltre 290 motherboard avrebbero un'impostazione di default insicura legata a Secure Boot grazie alla quale è possibile eseguire una qualsiasi immagine di un sistema operativo, indipendentemente dal fatto che questa abbia una firma errata o mancante.

Secondo Potocki, la cui scoperta è stata segnalata da Bleeping Computer, il problema è già stato segnalato a MSI ma non ha ricevuto risposta. Che si tratti di una motherboard per CPU Intel o AMD poco importa, il problema sarebbe trasversale e riguarderebbe anche i modelli più recenti.

Secure Boot è una soluzione di sicurezza a livello di firmware nata per garantire la sola esecuzione di codice firmato durante la fase di avvio. Se le firme sono valide, il PC si avvia e il firmware cede il controllo al sistema operativo. Qualora il codice non presentasse una firma valida o non la presentasse affatto, il processo di avvio viene bloccato da Secure Boot per garantire la protezione dei dati archiviati sul sistema. In questo modo Microsoft e i suoi partner puntano a proteggere i PC dai cosiddetti bootkit e altre minacce.

Potocki afferma che i firmware di MSI da un anno circa a questa parte hanno un'impostazione di Secure Boot predefinita errata che permette al sistema di avviarsi anche con codice non verificato. "Ho deciso di configurare Secure Boot sul mio nuovo desktop con l'aiuto di sbctl. Sfortunatamente, ho scoperto che il mio firmware accettava ogni immagine del sistema operativo che gli fornivo, indipendentemente dal fatto che fosse attendibile o meno", spiega il ricercatore nel suo articolo. "Come ho scoperto in seguito, non si trattava solo di un firmware rotto; MSI aveva modificato le impostazioni predefinite di Secure Boot per consentire l'avvio in caso di violazioni della sicurezza (!!)".

In pratica, i nuovi firmware di moltissime motherboard (trovate un elenco delle schede madri coinvolte e altre informazioni a questo indirizzo Github) impostano la voce 'Image Execution Policy" su "Always Execute" per impostazione predefinita, consentendo a qualsiasi immagine di avviare il dispositivo normalmente. Potocki afferma che gli utenti dovrebbero impostare la policy "Deny Execute" per "Removable Media" e "Fixed Media", e questo dovrebbe bastare a impedire l'esecuzione di codice non firmato.

Il problema riguarderebbe firmware risalenti anche alla fine del 2021 per diverse motherboard. In attesa di una risposta nel merito da parte di MSI, ricordiamo che in linea generale è sempre consigliato mantenere il BIOS delle motherboard aggiornato perché - salvo rari casi - si risolvono problemi di sicurezza e di compatibilità hardware, specie se si acquista una piattaforma appena uscita e quindi "acerba" a livello software.