بیش از 300 مدل از مادربردهای MSI دارای Secure Boot خاموش هستند. آیا مال شما تحت تأثیر قرار گرفته است؟

Secure Boot یک استاندارد صنعتی برای اطمینان از اینکه دستگاه‌های ویندوز در طول فرآیند راه‌اندازی سیستم عامل یا نرم‌افزار مخرب را بارگیری نمی‌کنند، استانداردی است. اگر آن را روشن کرده باشید – همانطور که در بیشتر موارد باید انجام دهید، و این تنظیم پیش فرض توسط مایکروسافت است – برای شما خوب است. با این حال، اگر از یکی از بیش از 300 مدل مادربرد ساخته شده توسط سازنده MSI در 18 ماه گذشته استفاده می کنید، ممکن است از شما محافظت نشود.

Secure Boot که در سال 2011 معرفی شد، زنجیره ای از اعتماد را بین سخت افزار و نرم افزار یا سیستم عاملی که دستگاه را راه اندازی می کند برقرار می کند. قبل از Secure Boot، دستگاه‌ها از نرم‌افزاری به نام BIOS استفاده می‌کردند که بر روی یک تراشه کوچک نصب شده بود تا به آنها آموزش دهد که چگونه هارد دیسک‌ها، پردازنده‌ها، حافظه و سایر سخت‌افزارها را شناسایی و راه‌اندازی کنند. پس از اتمام، این مکانیسم بوت لودر را بارگذاری می کند که وظایف و فرآیندهای بارگذاری ویندوز را فعال می کند.

مشکل این بود: BIOS هر بوت لودری را که در دایرکتوری مناسب قرار داشت بارگیری می کرد. این سهل انگاری به هکرهایی که دسترسی کوتاهی به دستگاهی داشتند اجازه می داد بوت لودرهای سرکش را نصب کنند که به نوبه خود، سیستم عامل مخرب یا تصاویر ویندوز را اجرا می کرد.

وقتی Secure Boot از هم می پاشد

حدود یک دهه پیش، بایوس با UEFI (رابط میان‌افزار توسعه‌پذیر یکپارچه) جایگزین شد، سیستم‌عاملی که می‌توانست از بارگیری درایورهای سیستم یا بوت‌لودرهایی که توسط سازنده‌های مورد اعتمادشان امضای دیجیتالی ندارند، جلوگیری کند.

UEFI به پایگاه‌های داده امضاهای قابل اعتماد و ابطال شده متکی است که OEMها در زمان ساخت در حافظه غیرفرار مادربردها بارگذاری می‌کنند. امضاها امضا کنندگان و هش های رمزنگاری هر بوت لودر مجاز یا برنامه های کنترل شده توسط UEFI را فهرست می کنند، معیاری که زنجیره اعتماد را ایجاد می کند. این زنجیره تضمین می‌کند که دستگاه فقط با استفاده از کدهایی که شناخته شده و قابل اعتماد هستند، به طور ایمن بوت می‌شود. اگر قرار است کد ناشناخته بارگیری شود، Secure Boot فرآیند راه اندازی را خاموش می کند.

یک محقق و دانشجو اخیراً کشف کرده است که بیش از 300 مدل مادربرد MSI مستقر در تایوان، به طور پیش فرض، Secure Boot را پیاده سازی نمی کنند و به هر بوت لودری اجازه اجرا می دهند. این مدل‌ها با سخت‌افزار و سفت‌افزار مختلف، از جمله بسیاری از اینتل و AMD کار می‌کنند (لیست کامل اینجاست). این نقص زمانی در سه ماهه سوم سال 2021 معرفی شد. محقق هنگام تلاش برای امضای دیجیتالی اجزای مختلف سیستم خود به طور تصادفی این مشکل را کشف کرد.

داوید پوتوکی، محقق لهستانی که اکنون در نیوزیلند زندگی می‌کند، نوشت: «در 11-12-2022، تصمیم گرفتم که Secure Boot را با کمک sbctl روی دسک‌تاپ جدیدم راه‌اندازی کنم. “متاسفانه متوجه شده ام که سیستم عامل من… هر تصویر سیستم عاملی را که به آن می دادم می پذیرفت، مهم نیست که مورد اعتماد بود یا نه. این اولین باری نبود که Secure Boot را خودم امضا می‌کردم، این کار را اشتباه انجام ندادم.»

پوتوکی گفت که هیچ نشانه ای از مادربردهای تولیدکنندگان ASRock، Asus، Biostar، EVGA، Gigabyte و NZXT پیدا نکرده است.

این محقق در ادامه گزارش داد که خرابی Secure Boot نتیجه تغییر غیرقابل توضیح تنظیمات پیش فرض MSI است. کاربرانی که می خواهند Secure Boot را پیاده سازی کنند – که واقعاً باید همه باشند – باید به تنظیمات مادربرد آسیب دیده خود دسترسی داشته باشند. برای انجام این کار، در حالی که دستگاه در حال بوت شدن است، دکمه Del را روی صفحه کلید نگه دارید. از آنجا، منوی مورد نظر را انتخاب کنید SecuritySecure Boot یا چیزی به همین منظور و سپس آن را انتخاب کنید Image Execution Policy زیر منو اگر مادربرد شما تحت تأثیر قرار گرفته باشد، Removable Media و Fixed Media روی «همیشه اجرا شود» تنظیم می‌شوند.

برای رفع این مشکل، «همیشه اجرا» را برای این دو دسته به «عدم اجرا» تغییر دهید.

در یک پست Reddit که روز پنجشنبه منتشر شد، یکی از نمایندگان MSI یافته های پوتوکی را تایید کرد. این نماینده نوشت:

ما به طور پیشگیرانه Secure Boot را به عنوان فعال و “Always Execute” را به عنوان تنظیمات پیش فرض تنظیم کردیم تا یک محیط کاربر پسند ارائه دهیم که به کاربران نهایی اجازه می دهد تا سیستم های رایانه شخصی خود را با هزاران (یا بیشتر) اجزایی که شامل گزینه داخلی آنها هستند، انعطاف پذیری داشته باشند. ROM، از جمله تصاویر سیستم عامل، که منجر به تنظیمات سازگاری بالاتر می شود. برای کاربرانی که به شدت نگران امنیت هستند، همچنان می‌توانند «Image Execution Policy» را به‌عنوان «Deny Execute» یا گزینه‌های دیگر را به صورت دستی تنظیم کنند تا نیازهای امنیتی خود را برآورده کنند.

در این پست آمده بود که MSI نسخه‌های سفت‌افزار جدیدی را منتشر خواهد کرد که تنظیمات پیش‌فرض را به “Deny Execute” تغییر می‌دهد. subreddit پیوند داده شده در بالا حاوی بحثی است که ممکن است به کاربران در رفع مشکلات کمک کند.

همانطور که گفته شد، Secure Boot برای جلوگیری از حملاتی طراحی شده است که در آن یک فرد غیرقابل اعتماد به طور مخفیانه به یک دستگاه دسترسی کوتاهی پیدا می کند و سیستم عامل و نرم افزار آن را دستکاری می کند. چنین هک‌هایی معمولاً به عنوان «حملات خدمتکار شیطان» شناخته می‌شوند، اما توصیف بهتر «حملات استالکر سابق پسر» است.