290'dan fazla MSI anakartının, yanlış veya eksik bir imza olup olmadığına bakılmaksızın herhangi bir işletim sistemi görüntüsünün çalışmasını sağlayan güvensiz bir varsayılan UEFI güvenli önyükleme ayarı ayarlarından etkilendiği bildiriliyor.
Bu keşif, MSI ile iletişim kurma ve sorun hakkında bilgi verme çabalarına rağmen yanıt almadığını iddia eden Dawid Potocki adlı bir Polonya güvenlik araştırmacısından geliyor.
Potocki'ye göre sorun, yeni bir ürün yazılımı sürümünü kullanan ve yepyeni MSI anakart modellerini bile etkileyen birçok Intel ve AMD tabanlı MSI anakartlarını etkiliyor.
Secure Boot, UEFI anakartlarının ürün yazılımında yerleşik bir güvenlik özelliğidir ve bu da önyükleme işlemi sırasında yalnızca güvenilir (imzalı) yazılımın yürütülmesini sağlayabilir.
Microsoft, "PC başladığında, ürün yazılımı UEFI ürün yazılımı sürücüleri (Option ROM'ları olarak da bilinir), EFI uygulamaları ve işletim sistemi dahil olmak üzere her bir önyükleme yazılımının imzasını kontrol eder."
"İmzalar geçerlise, PC botları ve ürün yazılımı işletim sistemine kontrol verir."
Önyükleme yükleyicilerinin, işletim sistemi çekirdeklerinin ve diğer temel sistem bileşenlerinin güvenliğini doğrulamak için, Secure Boot yazılımı doğrulayan ve her bottaki geçerliliğini belirleyen PKI'yı (genel anahtar altyapısı) kontrol eder.
Yazılım imzasızsa veya imzası değişmişse, muhtemelen değiştirildiği için, önyükleme işlemi bilgisayarda depolanan verileri korumak için güvenli önyükleme ile durdurulacaktır.
Bu güvenlik sistemi, UEFI bootkits/rootkits'in (1, 2, 3) bilgisayarda piyasaya sürülmesini önlemek ve satıcı sistemi gönderdikten sonra kullanıcıları işletim sistemlerinin tahrif edildiği konusunda uyarmak için tasarlanmıştır.
Potocki, MSI'nın 18 Ocak 2022'de yayınlanan ürün yazılımı güncelleme sürümü '7C02V3C', MSI anakartlarında varsayılan güvenli bir önyükleme ayarını değiştirdiğini, böylece güvenlik ihlallerini algılasa bile önyükleme yapmasını sağladığını iddia ediyor.
"SBCTL'nin yardımıyla yeni masaüstümde güvenli önyükleme kurmaya karar verdim. Ne yazık ki, ürün yazılımımın güvenilir olup olmadığına bakılmaksızın verdiğim her işletim sistemi resmini kabul ettiğini buldum." .
"Daha sonra 2022-12-16'da keşfettiğim gibi, sadece kırılmış ürün yazılımı değildi; MSI, güvenlik ihlallerinde önyüklemeye izin vermek için güvenli önyükleme varsayılanlarını değiştirmişti (!!)."
Bu değişiklik, ürün yazılımındaki "Görüntü Yürütme Politikası" ayarını yanlışlıkla varsayılan olarak "her zaman yürütmeye" ayarlayarak, herhangi bir görüntünün cihazı normal şekilde önyüklemesine izin vermekti.
Yukarıdaki resimden de görebileceğiniz gibi, güvenli önyükleme etkin olsa da, 'görüntü yürütme ilkesi' ayarı 'her zaman yürütülecek' olarak ayarlanır ve güvenlik ihlalleri olsa bile sistemin önyükleme yapmasına izin verir.
Güvensiz görüntüler, cihazı önyüklemek için kullanılabilir olduğundan, güvenli önyükleme özelliğini etkili bir şekilde kırar
Potocki, kullanıcıların yürütme politikasını "çıkarılabilir medya" ve "sabit medya" için "yürütmeyi reddetmek" için ayarlaması gerektiğini açıklar ve bu da yalnızca imzalı yazılımın önyükleme yapmasına izin vermelidir.
Araştırmacı, MSI'nin değişikliği asla belgelemediğini, bu nedenle yapılandırma seçenekleri bilgilerini çıkarmak için IFR (UEFI dahili form gösterimi) kullanarak güvensiz varsayılanın tanıtımını izlemek zorunda kaldığını söyledi.
Potocki daha sonra bu bilgileri hangi MSI anakartlarının konuyla etkilendiğini belirlemek için kullandı. Bu güvensiz ortamdan etkilenen 290'dan fazla anakartların tam bir listesi GitHub'da mevcuttur.
Bu listede bir MSI anakart kullanıyorsanız, BIOS ayarlarına gidin ve "Görüntü Yürütme Politikası" nın güvenli bir seçeneğe ayarlandığını kontrol edin.
Ocak 2022'den beri anakart ürün yazılımınızı yükseltmediyseniz, yazılım güncellemeleri önemli güvenlik düzeltmeleri içerdiğinden, kötü bir varsayılanın tanıtımı daha fazla ertelemek için bir neden olmamalıdır.
BleepingComputer, yukarıdakiler hakkında yorum istemek için MSI ile iletişime geçti ve yeni bir güncelleme yoluyla varsayılan ayarı değiştirmeyi planlayıp planlamadıkları, ancak hala bir yanıt almayı bekliyoruz.
Acer, güvenli önyüklemeyi devre dışı bırakmak için kullanılabilecek UEFI hatalarını düzeltiyor
Sıçan kötü amaçlı yazılım kampanyası, poliglot dosyalarını kullanarak algılamadan kaçmaya çalışır
Corsair klavye hatası kendi başına yazdırır, kötü amaçlı yazılım içermez
AMD, ARM, HPE, Dell, diğerlerinden şiddetli ami megarac kusurları darbe sunucuları
Sahte MSI Afterburner, Windows oyuncularını madencilerle, info-steeters ile hedefliyor
Kaynak: Bleeping Computer