MSI ha respondido a su implementación defectuosa de ‘Arranque seguro’ que fue destacada recientemente por el investigador de código abierto, Dawid Potocki.
MSI aclara su posición sobre la implementación de arranque seguro en casi 300 placas base, otras, incluida ASUS, también podrían verse afectadas
La funcionalidad de Arranque seguro en las placas base más recientes garantiza que el dispositivo solo arranque el software/código en el que confía el proveedor del hardware. El firmware integrado en el hardware está diseñado para ejecutarse a través de una firma criptográfica que incluye controladores UEFI, aplicaciones EFI y el sistema operativo. Según The Register, Potocki publicó una extensa publicación de blog en la que detalla sus hallazgos sobre las aproximadamente 300 placas base que probó.
Sus hallazgos mostraron que alrededor de 300 placas base MSI que ejecutan algunas versiones de firmware específicas permitirán el arranque de binarios en violaciones de políticas de forma predeterminada, por lo que no proporcionarán ninguna seguridad adicional en comparación con tener el Arranque seguro deshabilitado. La lista completa de placas base que cuentan con esta implementación se puede ver aquí.
Ahora MSI tiene una declaración oficial sobre el asunto publicada en el subreddit Gaming de MSI que se puede leer a continuación:
MSI implementó el mecanismo de Arranque seguro en nuestros productos de placa base siguiendo la guía de diseño definida por Microsoft y AMI antes del lanzamiento de Windows 11. Configuramos de forma preventiva el Arranque seguro como Habilitado y «Ejecutar siempre» como la configuración predeterminada para ofrecer un entorno fácil de usar. que permite a múltiples usuarios finales flexibilidad para construir sus sistemas de PC con miles (o más) de componentes que incluyeron su ROM de opción incorporada, incluidas las imágenes del sistema operativo, lo que resultó en configuraciones de mayor compatibilidad. Para los usuarios que están muy preocupados por la seguridad, aún pueden configurar la «Política de ejecución de imágenes» como «Denegar ejecución» u otras opciones manualmente para satisfacer sus necesidades de seguridad.
En respuesta al informe de problemas de seguridad con la configuración predeterminada de BIOS, MSI implementará nuevos archivos de BIOS para nuestras placas base con «Denegar ejecución» como configuración predeterminada para niveles de seguridad más altos. MSI también mantendrá un mecanismo de arranque seguro completamente funcional en el BIOS para que los usuarios finales puedan modificarlo según sus necesidades.
a través de MSI Gaming Reddit
Tenemos información disponible que muestra que una implementación similar también podría afectar a las placas de otros fabricantes, como ASUS y Gigabyte, que se ejecutan en versiones de firmware específicas. Tenga en cuenta que, al igual que en el caso de MSI, este firmware está etiquetado como BETA y no como un lanzamiento oficial.
Violación de arranque seguro de ASUS:
Infracción de arranque seguro de Gigabyte:
La siguiente metodología de prueba se utilizó para las pruebas de ASUS y Gigabyte:
- Borrar CMOS
- Presione la tecla F5 o F6 o F7 para «Cargar valores predeterminados optimizados»
- Pruebe si Security Boot está funcionando para denegar el USB de arranque que no tiene una firma válida.
- Si el Arranque seguro no funciona, intente ajustar manualmente la configuración en el BIOS y vea cómo funciona.
MSI también mencionó que los usuarios aún pueden configurar la opción necesaria manualmente a través de su BIOS, pero también implementarán un nuevo BIOS que permite que el parámetro ‘Deny Execute’ se configure de manera predeterminada. El nuevo BIOS también conservará el mecanismo de arranque seguro completamente funcional dentro del BIOS para que los usuarios lo ajusten manualmente.