Irreführende Einstellung: MSI-Mainboards hebeln per Default Secure Boot aus
Aktuelle MSI-Mainboards unterstützen zwar die Sicherheitsfunktion Secure Boot, umgehen diese aber durch eine weitere Einstellung. UEFI-Updates sollen die irreführende Standardeinstellung bald beheben.
Seit Windows 8 müssen Mainboards die Sicherheitsfunktion Secure Boot unterstützen, um von Microsoft als kompatibel eingestuft zu werden. Diese sorgt wiederum dafür, dass das Mainboard wichtige Programme wie den Bootloader anhand eines Schlüssels überprüft und sie nur dann ausführt, wenn eine Veränderung durch Dritte ausgeschlossen werden kann. In der Theorie soll damit vermieden werden, dass unabsichtlich Schadsoftware ausgeführt wird.
Aktiviert und ausgehebelt
Laut dem polnischen Studenten Dawid Potocki ist diese Funktionsweise auf MSI-Mainboards aber nur blanke Theorie: Laut ihm wird Secure Boot durch die Standardeinstellung zahlreicher UEFIs des Unternehmens einfach ausgehebelt. Im Unterpunkt "Image Execution Policy" wird ist demnach "Always Execute" voreingestellt. Dadurch prüfen MSI-Mainboards zwar die Signaturen, führen Programme aber unabhängig vom Ergebnis aus. Das hat Potocki entdeckt, als er testweise ein unsigniertes Betriebssystem installieren wollte - und das ohne Probleme konnte.
Nachdem er das Problem identifiziert hat, analysierte Potocki aktuelle MSI-UEFIs. Laut einer von ihm auf Github veröffentlichten Liste wird Secure Boot standardmäßig auf nahezu allen Mainboards des Herstellers umgangen. Häufig ist das mit allen UEFI-Versionen der Fall, manchmal wurde die Voreinstellung auch erst zwischen 2021 und 2022 nachgepatcht.
Glücklicherweise ist das Sicherheitsproblem leicht zu beheben, schließlich kann man einfach im UEFI die Image Execution Policy ändern. Als Voreinstellung wäre aber eigentlich zu erwarten, dass das Mainboard alle notwendigen Sicherheitsfunktionen nutzt, und Secure Boot nicht nur vermeintlich aktiviert.
Auch spannend: Erweiterungskarte für bestimmte Asrock-Boards: Aus B650 werde X670
MSI hat zwar nicht auf direkte Anfragen von Potocki, aber auf nachfolgende Medienberichte reagiert. Laut einem auf Reddit veröffentlichtem Statement ist das beschriebene Verhalten sogar Absicht. Demnach wird Secure Boot für das aktuelle Windows 11 vorausgesetzt, und gleichzeitig soll die ungeprüfte Programmausführung Probleme mit manchen Hardware-Komponenten verhindern. Trotzdem lenkt das Unternehmen ein: Offenbar sollen bald UEFI-Versionen erscheinen, die wieder "Deny Execute" als Standardeinstellung haben. Mit dieser werden nur Programme mit gültiger Signatur ausgeführt, sodass Secure Boot wieder funktionieren sollte.
Quelle: Github (Liste betroffener Produkte) / Dawid Potocki (Blogpost) via The Register
