.
Secure Boot é um padrão do setor para garantir que os dispositivos Windows não carreguem firmware ou software malicioso durante o processo de inicialização. Se você o ativou – como deveria na maioria dos casos, e é a configuração padrão exigida pela Microsoft – bom para você. No entanto, se você estiver usando um dos mais de 300 modelos de placas-mãe fabricados pelo fabricante MSI nos últimos 18 meses, talvez não esteja protegido.
Introduzido em 2011, o Secure Boot estabelece uma cadeia de confiança entre o hardware e o software ou firmware que inicializa um dispositivo. Antes do Secure Boot, os dispositivos usavam um software conhecido como BIOS, instalado em um pequeno chip, para instruí-los sobre como inicializar, reconhecer e iniciar discos rígidos, CPUs, memória e outros hardwares. Depois de concluído, esse mecanismo carregou o bootloader, que ativa tarefas e processos para carregar o Windows.
O problema era: o BIOS carregava qualquer gerenciador de inicialização localizado no diretório apropriado. Essa permissividade permitia que hackers com acesso breve a um dispositivo instalassem gerenciadores de inicialização desonestos que, por sua vez, executavam firmware malicioso ou imagens do Windows.
Quando o Secure Boot desmorona
Cerca de uma década atrás, o BIOS foi substituído pelo UEFI (Unified Extensible Firmware Interface), um sistema operacional por si só que poderia impedir o carregamento de drivers de sistema ou bootloaders que não foram assinados digitalmente por seus fabricantes confiáveis.
A UEFI depende de bancos de dados de assinaturas confiáveis e revogadas que os OEMs carregam na memória não volátil das placas-mãe no momento da fabricação. As assinaturas listam os signatários e hashes criptográficos de cada bootloader autorizado ou aplicativo controlado por UEFI, uma medida que estabelece a cadeia de confiança. Essa cadeia garante que o dispositivo inicialize com segurança usando apenas código conhecido e confiável. Se um código desconhecido estiver programado para ser carregado, o Secure Boot encerra o processo de inicialização.
Um pesquisador e estudante descobriu recentemente que mais de 300 modelos de placas-mãe da MSI de Taiwan, por padrão, não estão implementando o Secure Boot e permitindo a execução de qualquer gerenciador de inicialização. Os modelos funcionam com vários hardwares e firmwares, incluindo muitos da Intel e AMD (a lista completa está aqui). A falha foi introduzida em algum momento do terceiro trimestre de 2021. O pesquisador acidentalmente descobriu o problema ao tentar assinar digitalmente vários componentes de seu sistema.
“Em 11/12/2022, decidi configurar o Secure Boot em minha nova área de trabalho com a ajuda do sbctl”, escreveu Dawid Potocki, pesquisador nascido na Polônia que agora mora na Nova Zelândia. “Infelizmente, descobri que meu firmware estava… aceitando todas as imagens do sistema operacional que eu dei, independentemente de ser confiável ou não. Não foi a primeira vez que assinei o Secure Boot automaticamente, não estava fazendo errado.”
Potocki disse que não encontrou nenhuma indicação de que as placas-mãe dos fabricantes ASRock, Asus, Biostar, EVGA, Gigabyte e NZXT sofram da mesma deficiência.
O pesquisador relatou que a inicialização segura quebrada foi o resultado da mudança inexplicável do MSI em suas configurações padrão. Os usuários que desejam implementar o Secure Boot – o que realmente deve ser todo mundo – devem acessar as configurações da placa-mãe afetada. Para fazer isso, mantenha pressionado o botão Del no teclado enquanto o dispositivo está inicializando. A partir daí, selecione o menu que diz SecuritySecure Boot ou algo nesse sentido e, em seguida, selecione o Image Execution Policy submenu. Se sua placa-mãe for afetada, Mídia removível e Mídia fixa serão definidas como “Sempre executar”.
Getty Images
Para corrigir, altere “Sempre executar” dessas duas categorias para “Negar execução”.
Em um post do Reddit publicado na quinta-feira, um representante da MSI confirmou as descobertas de Potocki. O representante escreveu:
Definimos preventivamente o Secure Boot como Enabled e “Always Execute” como a configuração padrão para oferecer um ambiente amigável que permite a vários usuários finais flexibilidade para construir seus sistemas de PC com milhares (ou mais) de componentes que incluem sua opção integrada ROM, incluindo imagens do sistema operacional, resultando em configurações de maior compatibilidade. Para usuários que estão muito preocupados com a segurança, eles ainda podem definir a “Política de Execução de Imagens” como “Negar Execução” ou outras opções manualmente para atender às suas necessidades de segurança.
A postagem dizia que a MSI lançará novas versões de firmware que alterarão as configurações padrão para “Negar Execução”. O subreddit vinculado acima contém uma discussão que pode ajudar os usuários a solucionar quaisquer problemas.
Conforme mencionado, o Secure Boot foi projetado para evitar ataques nos quais uma pessoa não confiável obtém acesso clandestino a um dispositivo e adultera seu firmware e software. Esses hacks são geralmente conhecidos como “ataques de empregadas do mal”, mas uma descrição melhor é “ataques de ex-namorado perseguidor”.
.
