Aggiornamento 19 gennaio
Abbiamo ricevuto la risposta ufficiale da parte di MSI, che potete leggere direttamente qui sotto.
MSI ha implementato il meccanismo Secure Boot sulle schede madri seguendo le indicazioni di progettazione definite da Microsoft e AMI per molto tempo, anche prima del lancio di Windows 11.Tuttavia, quando abbiamo esaminato le caratteristiche del prodotto e il pubblico di destinazione nel mercato consumer, abbiamo preferito optare per una soluzione più bilanciata e più adatta ai requisiti del nostro target.
Impostiamo Secure Boot come Enabled e "Always Execute" come impostazione predefinita per offrire un ambiente più flessibile, che consente a più utenti finali di creare il proprio sistema PC con migliaia (o più) di componenti che includevano la ROM opzionale integrata, inclusa l'immagine del sistema operativo, disponibile in una configurazione di maggiore compatibilità. Naturalmente, per gli utenti finali che sono molto preoccupati per la sicurezza, possono comunque impostarlo come "Deny Execute" o altre opzioni manualmente per soddisfare le loro esigenze di sicurezza.
Vale a dire, abbiamo fornito un meccanismo di avvio sicuro completamente funzionante nel BIOS affinché gli utenti finali possano modificarlo in base alle loro richieste e mostra la flessibilità del controllo di sicurezza. MSI manterrà l'aggiornamento del BIOS per ottimizzare l'esperienza dell'utente.
Grazie per aver supportato MSI come sempre.
Notizia originale
Il processo di Secure Boot su schede madri per PC prodotte da Micro-Star International (MSI) è stato scoperto essere non affidabile da Dawid Potocki, ricercatore e studente della Nuova Zelanda. Questo è piuttosto preoccupante, in quanto Secure Boot è uno standard di sicurezza che garantisce che i dispositivi avviino solo software che il produttore dell'hardware considera sicuro. Il BIOS dovrebbe controllare la firma crittografica di tutto il software di avvio, compresi i driver del firmware UEFI, le applicazioni EFI e il sistema operativo.
Potocki ha dichiarato la scorsa settimana, in un post sul suo blog:
L’11 dicembre 2022 ho deciso di impostare Secure Boot sul mio nuovo desktop con l'aiuto di sbctl [il gestore delle chiavi di avvio sicuro su Linux], scoprendo che il mio firmware accettava ogni immagine del sistema operativo che gli fornivo, indipendentemente dal fatto che fosse attendibile o meno.I laptop di MSI non sono interessati, ma solo le loro schede madri per desktop. Sospetto che questo sia dovuto al fatto che probabilmente sapevano che Microsoft non l'avrebbe approvato e/o che ricevono meno ticket dai loro utenti per problemi inerenti a Secure Boot.
Dopo aver scoperto che il modello MSI PRO Z790-A WIFI non riusciva a verificare i file binari, il ricercatore ha iniziato a controllare anche altre motherboard del produttore taiwanese, individuando che che quasi 300 di loro avevano impostazioni altrettanto lassiste. Potocki sostiene che MSI imposta per impostazione predefinita "Esegui sempre" in caso di violazione dei criteri, rendendo praticamente inutile l'attivazione del Secure Boot. Le schede madri elencate nel suo post su GitHub sono ancora interessate da questo problema.
Potocki ha dichiarato di aver cercato di contattare MSI per segnalare il problema ma non ha ricevuto risposta. Ha anche richiesto un CVE relativo all'uso di impostazioni predefinite non sicure e ha affermato di non essere certo se si tratti semplicemente di una svista o una scelta voluta da parte dell'azienda.
Anche noi di Tom’s Hardware abbiamo contattato MSI e siamo in attesa di una risposta ufficiale. Aggiorneremo l'articolo una volta che l'avremo ricevuta.
