健康资讯 Micro-Star International (MSI) 制造的近 300 种不同 PC 主板型号上的安全启动过程并不安全,当“安全”是过程描述的一部分时,问题尤其严重。
新西兰的开源安全研究员和学生 Dawid Potocki上个月发现,尽管违反了安全启动策略,但某些具有特定固件版本的 MSI 主板允许任意二进制文件启动。
安全启动是一种 PC 安全标准,旨在确保设备仅启动硬件制造商信任的软件。设备固件应该检查每个引导软件的加密签名,包括 UEFI 固件驱动程序、EFI 应用程序和操作系统。
无论如何,这就是理论。
“在 2022 年 12 月 11 日,我决定借助sbctl [Linux 上的安全启动密钥管理器] [the] 的帮助在我的新桌面上设置安全启动,”Potocki上周在一篇博客文章中解释道。“不幸的是,我发现我的固件……接受我给它的每一个操作系统映像,不管它是否可信。”
在发现MSI PRO Z790-A WIFI无法验证二进制文件后,Potocki 开始调查其他 MSI 主板,看看它们是否有类似的宽松设置。他找到了将近300 个。
根据 Potocki 的说法,MSI 在默认情况下会为所有违反策略的行为设置“始终执行”,这使得 Secure Boot 在默认设置下毫无价值。在发给The Register的电子邮件中,Potocki 确认他在 GitHub 问题帖子中列出的主板仍然受到影响。
“[MSI] 笔记本电脑不受影响,只有台式机主板受到影响,”Potocki 写道。“我怀疑这是因为他们可能知道微软不会批准它和/或他们得到的关于安全启动的票较少,从而给他们的用户带来问题。”
