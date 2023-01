Secure Boot soll durch Prüfungen vor dem Booten eines Betriebssystems Computer davor schützen, dass Angreifer Opfern mit Schadcode präparierte Systeme unterschieben und starten können. Den Versuchen eines Sicherheitsforschers zufolge ist dieser Schutz auf hunderten Motherboards von MSI mit aktueller Firmware aber nicht mehr gegeben.

Unsicheres Secure Boot

In einem Beitrag beschreibt er, dass er beim Set-up von Secure Boot auf Unstimmigkeiten gestoßen ist. Ihm zufolge hat sein PC trotz aktiver Secure-Boot-Option ohne zu meckern auch unsignierte Betriebssysteme gestartet.

In den UEFI-Einstellungen stieß er auf den Grund dafür: Ihm zufolge ist Secure Boot zwar aktiv, aber eine Untereinstellung konterkariert den Schutzmechanismus. Denn unter "Image Execution Policy" ist die Option "Always Execute" eingestellt. Das führe dazu, dass Secure Boot quasi umgangen wird. Demzufolge ist Schutz zwar eingeschaltet, aber nutzlos und dem Forscher nur dazu da, um die Anforderungen von Windows 11 zu erfüllen.

Bei den meisten Consumer-Mainboards ist Secure Boot im Lieferzustand (BIOS Setup Defaults) ohnehin deaktiviert. Und mit dieser dämlichen Einstellung seitens MSI wirkt Secure Boot nicht einmal, wenn man es auf "on" schaltet. Außerdem: Wenn UEFI Secure Boot in den BIOS Setup Defaults auf "off" steht, muss man es notgedrungen nach jedem Laden der Standardeinstellungen manuell wieder einschalten.

Eine Antwort auf eine Anfrage von heise Security an MSI steht noch aus. Der Sicherheitsforscher gibt an, den Hardwarehersteller vergebens auf mehreren Kanälen um eine Stellungnahme gebeten zu haben.

Hunderte Motherboards betroffen

Laut dem Sicherheitsforscher betrifft die unsichere Konfiguration hunderte MSI-Motherboards. Sie soll mit Firmware-Updates aus dem Jahr 2022 Einzug gehalten haben - beim B450 Tomahawk Max etwa mit der Ausgabe 7C02v3C. In einer Auflistung führt er die betroffenen Modelle nebst Firmware auf.

Bei MSI-Laptops soll Secure Boot hingegen wie gewünscht funktionieren. Er gibt an, stichprobenartig auch die UEFI-Firmware von Herstellern wie Asus und EVGA auf die unsichere Konfiguration untersucht zu haben. Dabei ist er nicht fündig geworden.

(des)