MSI

報告によると、290 を超える MSI マザーボードが安全でないデフォルトの UEFI セキュア ブート設定の影響を受けており、署名が間違っていたり不足していたりしても、オペレーティング システム イメージを実行できます。

この発見は、ポーランドのセキュリティ研究者 Dawid Potocki によるものです。彼は、MSI に連絡して問題について知らせようとしたにもかかわらず、応答がなかったと主張しています。

Potocki 氏によると、この問題は、最新のファームウェア バージョンを使用する多くの Intel および AMD ベースの MSI マザーボードに影響を与え、真新しい MSI マザーボード モデルにも影響を与えるとのことです。

UEFI セキュア ブート

セキュア ブートは、UEFI マザーボードのファームウェアに組み込まれているセキュリティ機能であり、信頼できる (署名された) ソフトウェアのみが起動プロセス中に実行できるようにします。

「PC が起動すると、ファームウェアは、UEFI ファームウェア ドライバー (オプション ROM とも呼ばれます)、EFI アプリケーション、およびオペレーティング システムを含む、ブート ソフトウェアの各部分の署名をチェックします」と Microsoft はセキュア ブートに関する記事で説明しています。

「署名が有効な場合、PC が起動し、ファームウェアがオペレーティング システムに制御を渡します。」

ブート ローダー、OS カーネル、およびその他の重要なシステム コンポーネントの安全性を検証するために、セキュア ブートはソフトウェアを認証する PKI (公開キー インフラストラクチャ) をチェックし、ブートごとにその有効性を判断します。

ソフトウェアが署名されていないか、署名が変更されている場合、おそらく変更されたことが原因で、コンピューターに保存されているデータを保護するために、セキュア ブートによってブート プロセスが停止されます。

このセキュリティ システムは、UEFI ブートキット/ルートキット ( 1、2、3 ) がコンピューター上で起動するのを防ぎ、ベンダーがシステムを出荷した後にオペレーティング システムが改ざんされていることをユーザーに警告するように設計されています。

デフォルトの MSI 設定により、安全でないブートが発生する

Potocki 氏は、2022 年 1 月 18 日にリリースされた MSI のファームウェア アップデート バージョン「7C02v3C」が、MSI マザーボードのデフォルトのセキュア ブート設定を変更し、セキュリティ違反が検出された場合でもシステムが起動するようになったと主張しています。

「sbctl の助けを借りて、新しいデスクトップにセキュア ブートをセットアップすることにしました。残念ながら、信頼できるかどうかに関係なく、ファームウェアが提供したすべての OS イメージを受け入れていることがわかりました」と研究者は彼の記事で説明しています。 .

「後で 2022 年 12 月 16 日に発見したように、それはファームウェアの破損だけではありませんでした。MSI はセキュア ブートのデフォルトを変更して、セキュリティ違反での起動を許可していました(!!)。」

MSI によるこの変更は、ファームウェアの「イメージ実行ポリシー」設定をデフォルトで「常に実行」に誤って設定し、任意のイメージが通常どおりデバイスを起動できるようにすることでした。

最新の MSI ファームウェアの安全でないデフォルト設定
最新の MSI ファームウェアの安全でないデフォルト設定
ソース: www.dawidpotocki.com

上の画像からわかるように、セキュア ブートが有効になっていても、「イメージ実行ポリシー」設定が「常に実行」に設定されているため、セキュリティ違反があってもシステムを起動できます。

これにより、信頼できないイメージを使用してデバイスを起動できるため、セキュア ブート機能が実質的に機能しなくなります。

Potocki 氏は、ユーザーは「リムーバブル メディア」と「固定メディア」の実行ポリシーを「実行を拒否」に設定する必要があると説明しています。これにより、署名付きソフトウェアの起動のみが許可されます。

安全でないオプションの変更
安全でないオプションの変更(dawidpotocki.com)

研究者は、MSI が変更を文書化したことがないため、IFR (UEFI Internal Form Representation) を使用して安全でないデフォルトの導入を追跡し、構成オプション情報を抽出する必要があると述べています。

Potocki はこの情報を使用して、どの MSI マザーボードがこの問題の影響を受けているかを判断しました。この安全でない設定の影響を受ける 290 を超えるマザーボードの完全なリストは、 GitHub で入手できます

そのリストにある MSI マザーボードを使用している場合は、BIOS 設定に移動し、「イメージ実行ポリシー」が安全なオプションに設定されていることを確認してください。

2022 年 1 月以降マザーボードのファームウェアをアップグレードしていない場合、ソフトウェアの更新には重要なセキュリティ修正が含まれているため、不適切なデフォルトの導入がそれ以上延期する理由にはなりません。

は MSI に連絡して、上記についてコメントを求め、新しいアップデートでデフォルト設定を変更する予定があるかどうかを尋ねましたが、まだ回答を待っています。