Centenas de placas-mãe MSI têm o Secure Boot ativado, mas ele não funciona

Secure Boot protege inicialização, mas recurso vem configurado para não fazer nada em cerca de 300 modelos de placas-mãe da MSI

Emerson Alecrim
Por

Tem, mas não funciona. É assim que o Secure Boot de numerosas placas-mãe da MSI pode ser descrito. Um especialista em segurança descobriu que o recurso, que protege a inicialização do PC, não cumpre o seu dever em cerca de 300 modelos da marca. O detalhe mais perturbador é que o problema foi descoberto por acaso.

Placa-mãe da MSI (imagem: Facebook/MSI)
Placa-mãe da MSI (imagem: Facebook/MSI)

O que é Secure Boot?

Secure Boot (Inicialização Segura) é um mecanismo de segurança criado para evitar que um software malicioso seja acionado durante a inicialização (boot) do computador. Para tanto, o recurso permite que apenas softwares assinados com chaves específicas sejam executados durante o procedimento.

O Secure Boot está entre os avanços implementados no mercado de PCs quando a indústria adotou o UEFI no lugar do antigo BIOS. Sigla para Unified Extensible Firmware Interface, o UEFI traz várias vantagens. Entre elas estão suporte a dispositivos de armazenamento de alta capacidade, inicialização mais rápida e, claro, recursos de segurança.

O UEFI usa uma lista de chaves criptográficas baseadas no hardware e em outras informações para permitir que o Secure Boot funcione. Se um software não estiver assinado ou tiver uma assinatura adulterada, o processo de boot é imediatamente interrompido.

É possível desativar o Secure Boot. Isso pode ser útil para quem precisa instalar um novo sistema operacional no computador a partir de um pendrive, por exemplo.

Mas, se o recurso está ativado, você espera que ele realmente proteja a inicialização da máquina. Só que não é assim em muitas placas da MSI.

O problema no Secure Boot das placas-mãe MSI

Em seu site pessoal, o polonês Dawid Potocki conta que, em dezembro de 2022, decidiu configurar o Secure Boot em seu desktop com ajuda da ferramenta sbctl.

Ele percebeu que, mesmo com o recurso ativado, a máquina aceitava todas as imagens de sistema operacional testadas, mesmo aquelas que não eram confiáveis (não tinham chaves).

Poderia ser um problema no firmware. Mas, alguns dias depois, Potocki descobriu que não existia uma falha de software. A ineficiência do Secure Boot é resultado de uma mudança no padrão de configuração do recurso.

Trata-se de uma mudança estranha. Ao acessar as configurações do Secure Boot, Potocki constatou que a área Image Execution Policy (Política de Execução de Imagem) tinha a opção Always Execute (Executar Sempre) ativada como padrão, inclusive para dispositivos removíveis, como pendrives.

Isso significa que o Secure Boot não executava nenhuma verificação. É como colocar guardas na entrada de um estabelecimento, mas eles não fazerem nada para proteger o local.

Incrédulo, Potocki comentou:

[O Secure Boot] É inútil. Isso existe [nas placas MSI] apenas para atender aos requisitos do Windows 11. O sistema operacional não tem ideia de que o Secure Boot não faz nada, apenas sabe que ele está “ativado”.

Pelo menos é possível botar o Secure Boot das placas MSI para trabalhar. Basta mudar a configuração de Always Execute para Deny Execute (Negar Execução).

Configuração de Secure Boot de placa-mãe MSI (imagem: Dawid Potocki)
Configuração de Secure Boot de placa-mãe MSI (imagem: Dawid Potocki)

A resposta da MSI

O assunto foi parar no Reddit. Curiosamente, foi por lá que a MSI se pronunciou a respeito. Um representante da companhia declarou que a opção Always Execute vem ativada por padrão para permitir que usuários tenham mais flexibilidade ao montar seus PCs.

Ainda de acordo com a companhia, essa medida foi executada com base em orientações de design dadas pela Microsoft e a AMI (empresa de tecnologia para firmwares) antes do lançamento do Windows 11.

Mas aí vem outro detalhe estranho: a MSI não documentou essa mudança, pelo menos não em comunicados públicos ou nos manuais das placas-mãe. Potocki teve que usar um recurso chamado UEFI Internal Form Representation (IFR) para confirmar a mudança no padrão de configuração.

Com base nisso, ele descobriu que o problema envolve atualizações de firmware liberadas pela MSI entre setembro de 2021 e janeiro de 2022. O problema aparece em cerca de 300 placas-mãe da marca. A lista de modelos afetados está no GitHub.

Se por força da repercussão do caso ou não, a companhia também prometeu liberar atualizações de firmware que trazem o Deny Execute ativado por padrão.

Dawid Potocki afirma ter conferido os IFRs de fabricantes como ASRock, Asus e Gigabyte, mas não encontrou problemas parecidos com elas. Ainda bem, pois essa configuração não faz sentido. Não vindo como padrão.

Com informações: Ars Technica, BleepingComputer.

Relacionados

Relacionados