Iscriviti al nostro nuovo canale YouTube, attiva le notifiche e rimani aggiornato su tutti i nuovi video

Schede madri MSI, Secure Boot non funziona come dovrebbe?

Schede madri MSI, Secure Boot non funziona come dovrebbe?

Un ricercatore di sicurezza polacco ha identificato quella che ritiene essere un'impostazione di default errata per quanto riguarda Secure Boost nei firmware delle motherboard MSI. Con la voce predefinita selezionata si permette l'avvio di codice non firmato in fase di boot.

di pubblicata il , alle 08:21 nel canale Schede Madri e chipset
MSI
 

Le motherboard MSI sono insicure? A puntare il dito contro la società taiwanese è il ricercatore di sicurezza polacco Dawid Potocki, secondo il quale oltre 290 motherboard avrebbero un'impostazione di default insicura legata a Secure Boot grazie alla quale è possibile eseguire una qualsiasi immagine di un sistema operativo, indipendentemente dal fatto che questa abbia una firma errata o mancante.

Secondo Potocki, la cui scoperta è stata segnalata da Bleeping Computer, il problema è già stato segnalato a MSI ma non ha ricevuto risposta. Che si tratti di una motherboard per CPU Intel o AMD poco importa, il problema sarebbe trasversale e riguarderebbe anche i modelli più recenti.

Secure Boot è una soluzione di sicurezza a livello di firmware nata per garantire la sola esecuzione di codice firmato durante la fase di avvio. Se le firme sono valide, il PC si avvia e il firmware cede il controllo al sistema operativo. Qualora il codice non presentasse una firma valida o non la presentasse affatto, il processo di avvio viene bloccato da Secure Boot per garantire la protezione dei dati archiviati sul sistema. In questo modo Microsoft e i suoi partner puntano a proteggere i PC dai cosiddetti bootkit e altre minacce.

Potocki afferma che i firmware di MSI da un anno circa a questa parte hanno un'impostazione di Secure Boot predefinita errata che permette al sistema di avviarsi anche con codice non verificato. "Ho deciso di configurare Secure Boot sul mio nuovo desktop con l'aiuto di sbctl. Sfortunatamente, ho scoperto che il mio firmware accettava ogni immagine del sistema operativo che gli fornivo, indipendentemente dal fatto che fosse attendibile o meno", spiega il ricercatore nel suo articolo. "Come ho scoperto in seguito, non si trattava solo di un firmware rotto; MSI aveva modificato le impostazioni predefinite di Secure Boot per consentire l'avvio in caso di violazioni della sicurezza (!!)".

In pratica, i nuovi firmware di moltissime motherboard (trovate un elenco delle schede madri coinvolte e altre informazioni a questo indirizzo Github) impostano la voce 'Image Execution Policy" su "Always Execute" per impostazione predefinita, consentendo a qualsiasi immagine di avviare il dispositivo normalmente. Potocki afferma che gli utenti dovrebbero impostare la policy "Deny Execute" per "Removable Media" e "Fixed Media", e questo dovrebbe bastare a impedire l'esecuzione di codice non firmato.

Il problema riguarderebbe firmware risalenti anche alla fine del 2021 per diverse motherboard. In attesa di una risposta nel merito da parte di MSI, ricordiamo che in linea generale è sempre consigliato mantenere il BIOS delle motherboard aggiornato perché - salvo rari casi - si risolvono problemi di sicurezza e di compatibilità hardware, specie se si acquista una piattaforma appena uscita e quindi "acerba" a livello software.

29 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
WarSide17 Gennaio 2023, 09:48 #1
Avranno voluto ridurre a 0 le richieste di assistenza dei niubbi che non sanno cosa sia secureboot e vogliono installare le robe più disparate e scaricate da chissà dove
Perseverance17 Gennaio 2023, 12:03 #2
[s]Questi oggetti sono per un mercato di appassionati e fai-da-te, si deve presumere che chi compra l'oggetto sappia come usarlo. MSI ha fatto benissimo a disattivare quelle opzioni, anzi, dovrebbero in via predefinita farlo tutti i marchi.[/s]

--EDIT--
Originariamente inviato da: LL1
Avete volutamente banalizzato la notizia mettendo in discussione l'incuria dell'utente ma la cosa è ben più fine di come appunto l'avete messa a causa del fatto che sicuramente non avete capito nulla in merito all'oggetto del discutere.

Edito, infatti avevo capito tutt'altro: il fatto che tengo spento secureboot e vorrei fosse di default su tutto è un desiderio personale e non c'entra col problema riportato.
silvanotrevi17 Gennaio 2023, 13:47 #3
quelli che leggo qui sono problemi di sicurezza molto gravi e inaccettabili. Personalmente non comprerò mai più una scheda madre Msi
Saturn17 Gennaio 2023, 13:52 #4
Originariamente inviato da: Perseverance
Questi oggetti sono per un mercato di appassionati e fai-da-te, si deve presumere che chi compra l'oggetto sappia come usarlo. MSI ha fatto benissimo a disattivare quelle opzioni, anzi, dovrebbero in via predefinita farlo tutti i marchi.


Esatto.

Originariamente inviato da: silvanotrevi
quelli che leggo qui sono problemi di sicurezza molto gravi e inaccettabili. Personalmente non comprerò mai più una scheda madre Msi


Quali problemi di sicurezza ? E' un'opzione da abilitare, tutto qui. Se assembli un pc la prima cosa che fai è aggiornare il bios all'ultima versione e settarlo come si deve. Altrimenti compri un assemblato. Che poi servisse davvero questo secureboot, fai una breve ricerca e vedi quanto è efficace nel garantire "l'integrità e la sicurezza dei tuoi dati" !
silvanotrevi17 Gennaio 2023, 13:56 #5
Originariamente inviato da: Saturn
Esatto.



Quali problemi di sicurezza ? E' un'opzione da abilitare, tutto qui. Se assembli un pc la prima cosa che fai è aggiornare il bios all'ultima versione e settarlo come si deve. Altrimenti compri un assemblato. Che poi servisse davvero questo secureboot, fai una breve ricerca e vedi quanto è efficace nel garantire "l'integrità e la sicurezza dei tuoi dati" !


queste parole nell'articolo non mi sembrano tanto confortanti:

"Ho deciso di configurare Secure Boot sul mio nuovo desktop con l'aiuto di sbctl. Sfortunatamente, ho scoperto che il mio firmware accettava ogni immagine del sistema operativo che gli fornivo, indipendentemente dal fatto che fosse attendibile o meno", spiega il ricercatore nel suo articolo. "Come ho scoperto in seguito, non si trattava solo di un firmware rotto; MSI aveva modificato le impostazioni predefinite di Secure Boot per consentire l'avvio in caso di violazioni della sicurezza (!!)"

no comment. Da parte mia mai più Msi e ringrazio i redattori per aver reso nota una cosa così grave
LL117 Gennaio 2023, 13:57 #6
Originariamente inviato da: silvanotrevi
quelli che leggo qui sono problemi di sicurezza molto gravi e inaccettabili. Personalmente non comprerò mai più una scheda madre Msi


stessa posizione sulla gravità (in generale infatti un utente non ha certo gli strumenti e/o capacità per poter verificare in autonomia se certe tecnologie sono implementate correttamente e si fida dunque di chi professionalmente fornisce il supporto al prodotto certificandolo oltretutto come aderente a determinate specifiche)
Saturn17 Gennaio 2023, 13:59 #7
Originariamente inviato da: silvanotrevi
queste parole nell'articolo non mi sembrano tanto confortanti:

"Ho deciso di configurare Secure Boot sul mio nuovo desktop con l'aiuto di sbctl. Sfortunatamente, ho scoperto che il mio firmware accettava ogni immagine del sistema operativo che gli fornivo, indipendentemente dal fatto che fosse attendibile o meno", spiega il ricercatore nel suo articolo. "Come ho scoperto in seguito, non si trattava solo di un firmware rotto; MSI aveva modificato le impostazioni predefinite di Secure Boot per consentire l'avvio in caso di violazioni della sicurezza (!!)"

no comment. Da parte mia mai più Msi e ringrazio i redattori per aver reso nota una cosa così grave


Ma che no-comment ? Ma quale grave ? Significa che oltre a Windows potevano partire anche sistemi operativi scritti dal sottoscritto, tanto per fare un esempio ! Punto, stop. Ripeto assembli un pc e se proprio vuoi "l'illusione della sicurezza" abiliti il secure boot. Tra l'altro Win11 senza quello attivo neanche si installa, salvo magheggi nella iso. Ma qui finisce la storia. Stiamo parlando del nulla cosmico. Semplicemente hanno scelta di non attivarla di default. E hanno fatto bene. Neanche meritava una notizia. Ribadisco se non si conosce quello di cui si parla, meglio non spingersi troppo oltre...!
Saturn17 Gennaio 2023, 14:04 #8
Veramente ormai all'utente medio se non gli dai la "pappa pronta" e già masticata si mette a sbattere i piedi come un poppante.

Una volta si studiava il manuale della motherboard (ed era tosto) e poi si settava secondo le proprie esigenze.

Adesso facciamo causa a msi perchè sceglie, come suo diritto, di settare un opzione in un modo invece che in un altro.

Resto allibito. Che poi, il secureboot...una garanzia proprio !

Originariamente inviato da: LL1
stessa posizione sulla gravità (in generale infatti un utente non ha certo gli strumenti e/o capacità per poter verificare in autonomia se certe tecnologie sono implementate correttamente e si fida dunque di chi professionalmente fornisce il supporto al prodotto certificandolo oltretutto come aderente a determinate specifiche)


Che studi l'utente. O altrimenti che compri un pre-assemblato di marca o un Mac se non ha volontà di applicarsi UN MINIMO !
StylezZz`17 Gennaio 2023, 14:06 #9
Originariamente inviato da: silvanotrevi
quelli che leggo qui sono problemi di sicurezza molto gravi e inaccettabili. Personalmente non comprerò mai più una scheda madre Msi


MSI farà a meno di te
ciolla200517 Gennaio 2023, 19:38 #10
Originariamente inviato da: silvanotrevi
quelli che leggo qui sono problemi di sicurezza molto gravi e inaccettabili. Personalmente non comprerò mai più una scheda madre Msi


Con le mani ciao ciao!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^