BIOS-Problem: Bei MSI ist Secure Boot praktisch aus, wenn es an ist
Der polnische Student Dawid Potocki berichtet über ein Sicherheitsproblem, das augenscheinlich hunderte Mainboards des Herstellers MSI betrifft. Bei diesen ist eine BIOS-Einstellung standardmäßig gesetzt, die trotz aktivierter Secure-Boot-Funktion die Ausführung nicht signierter Betriebssysteme erlaubt.
In seinem persönlichen Blog beschreibt Potocki das Problem im Detail. Demnach ist bei den betroffenen Mainboards im BIOS-Menü unter der Sicherheitsfunktion „Secure Boot“ standesgemäß die Einstellung „Image Execution Policy -> Always Execute“ aktiv. Diese erlaubt die Ausführung jeglicher Abbilder (Images) eines Betriebssystems, auch wenn diese überhaupt nicht signiert sind. Ohne Blick in das Untermenü wird Secure Boot also trotz Aktivierung im BIOS praktisch nicht genutzt.
Secure Boot kurz erklärt
Microsoft beschreibt die Funktion wie folgt: „Secure Boot ist ein wichtiges Sicherheitsfeature, mit dem das Laden von Schadsoftware beim Starten des PCs (Boots) verhindert wird“. Das Feature ist Teil der UEFI-Spezifikation und soll die Echtheit von Software wie dem Boot-Programm von Betriebssystemen oder beim Systemstart geladenen Treibern garantieren, damit keine manipulierte und eventuell schädliche Software ausgeführt wird. So wird zum Beispiel ein Schutz vor sogenannten Rootkits ermöglicht.
Potockis Entdeckung
Bereits im Dezember hatte Dawid Potocki bei seinem Desktop-PC mit MSI-Mainboard versucht, Secure Boot einzurichten und dabei festgestellt, dass trotz Aktivierung die Ausführung beliebiger Images möglich war. Nach Untersuchungen kam Potocki zu dem Schluss, dass MSI bei einer Firmware-Änderung (BIOS-Update) die besagte "Image Execution Policy" auf den Wert „Always Execute“ (immer ausführen) geändert hatte.
Nur über manuelles Setzen der Einstellung „Deny Execute“ für „Removable Media“ und „Fixed Media“ würde Secure Boot tatsächlich funktionieren.
Angeblich betroffene Mainboards
Die von Potocki veröffentlichte Liste der angeblich betroffenen MSI-Mainboards ist lang und auf Github abrufbar. Wie Bleeping Computer berichtet, soll sie 290 Modelle umfassen. Darunter sind neuere Modelle, bei denen alle BIOS-Versionen betroffen seien. Bei den noch viel zahlreicheren älteren Modellen seien nur jene mit neuerem BIOS betroffen.
Ferner sollen MSI-Laptops kein derartiges Problem mit Secure Boot aufweisen und auch bei anderen Mainboard-Herstellern wurde Potocki bisher nicht fündig.
Nach seinen Angaben habe er MSI bereits auf verschiedenen Kommunikationswegen wegen des Problems kontaktiert, bisher aber keine Antwort erhalten.
Die Redaktion dankt „Euphoria“ und „MSI-MATZE“ für die Hinweise zu dieser News.
Auf Reddit hat MSI Stellung genommen. Demnach sei die bemängelte Standardeinstellung von Secure Boot nach dem Aspekt der Anwenderfreundlichkeit und Kompatibilität gewählt worden. Nutzer, die auf Sicherheit bedacht sind, könnten die Ausführungsrichtlinien entsprechend anpassen.
MSI wolle aber neue BIOS-Versionen bereitstellen, bei denen die Einstellung „Deny Execute“ standardmäßig ausgewählt ist.
Die Redaktion dankt „alan_Shore“ für den Hinweis zum Update.