Merhaba arkadaşlar. 290'dan fazla MSI anakart modelinde Secure Boot ile ilgili güvenlik açığı tespit edildi.
Etkilenen anakart modellerinde Secure Boot açılsa da alt Secure Boot ayarlarının yanlış olması nedeniyle imzasız önyükleyiciler yine de çalışabiliyor. Bu da ciddi bir güvenlik açığı oluşturuyor.
Çünkü bu açık nedeniyle Secure Boot açık olsa bile bir rootkit sisteminizi ele geçirebilir ve hiç haberiniz olmayabilir.
Varsayılan olarak yanlış yapılmış ayar BIOS'ta
Etkilenen MSI anakartlarda ayarlar varsayılan olarak şu şekilde geliyor:
Bu görüntü bana ait değil, kaynak verdiğim GitHub sayfasından aldım. Fakat anakart modeli benimki ile aynı ve bende de varsayılan ayar bu şekildeydi.
Varsayılan olarak Image Execution Policy sekmesindeki tüm ayarlar "Always Execute" olarak geliyor. Yani Secure Boot tarafından imzasız olduğu tespit edilen önyükleyiciler bu ayar yüzünden hiç uyarı dahi gösterilmeden çalıştırılıyor. Bu da rootkit/bootkit tarzı zararlılara karşı sistemlerin tamamen savunmasız olduğu anlamına geliyor.
Eğer etkilenen MSI anakartlardan birini kullanıyorsanız bir an önce BIOS'a girip
Umarım MSI en kısa zamanda bu hatayı tespit eder ve tüm anakartlarına BIOS güncellemesi yayınlayıp Secure Boot güvenlik açığını varsayılan haliyle kapatır.
Etkilenen anakartların listesini ve daha detaylı bilgileri İngilizce biliyorsanız aşağıdaki linkten öğrenebilirsiniz.
Kaynak (İngilizce): MSI has very insecure Secure Boot defaults · Issue #181 · Foxboron/sbctl
Etkilenen anakart modellerinde Secure Boot açılsa da alt Secure Boot ayarlarının yanlış olması nedeniyle imzasız önyükleyiciler yine de çalışabiliyor. Bu da ciddi bir güvenlik açığı oluşturuyor.
Çünkü bu açık nedeniyle Secure Boot açık olsa bile bir rootkit sisteminizi ele geçirebilir ve hiç haberiniz olmayabilir.
Varsayılan olarak yanlış yapılmış ayar BIOS'ta
Settings > Advanced > Windows OS Configuration > Secure Boot > Image Execution Policy
bölümünde yer alıyor. Image Execution Policy ayarları, Secure Boot tarafından denetlenip imzasız olduğu tespit edilen önyükleyiciler için nasıl bir davranış gösterileceğini belirler.Etkilenen MSI anakartlarda ayarlar varsayılan olarak şu şekilde geliyor:
Bu görüntü bana ait değil, kaynak verdiğim GitHub sayfasından aldım. Fakat anakart modeli benimki ile aynı ve bende de varsayılan ayar bu şekildeydi.
Varsayılan olarak Image Execution Policy sekmesindeki tüm ayarlar "Always Execute" olarak geliyor. Yani Secure Boot tarafından imzasız olduğu tespit edilen önyükleyiciler bu ayar yüzünden hiç uyarı dahi gösterilmeden çalıştırılıyor. Bu da rootkit/bootkit tarzı zararlılara karşı sistemlerin tamamen savunmasız olduğu anlamına geliyor.
Eğer etkilenen MSI anakartlardan birini kullanıyorsanız bir an önce BIOS'a girip
Settings > Advanced > Windows OS Configuration > Secure Boot
sekmesine girin ve ilk olarak Secure Boot Mode ayarını Custom yapın. Sonra ise Image Execution Policy bölümüne girin ve Removable Media ile Fixed Media ayarını "Deny Execute" olarak değiştirin. Bu, Secure Boot tarafından imzasız olduğu tespit edilen önyükleyicilerin engellenmesini sağlayacaktır. İsteğe bağlı olarak Option ROM ayarını da "Deny Execute" yapabilirsiniz, ki ben de öyle yaptım.Umarım MSI en kısa zamanda bu hatayı tespit eder ve tüm anakartlarına BIOS güncellemesi yayınlayıp Secure Boot güvenlik açığını varsayılan haliyle kapatır.
Etkilenen anakartların listesini ve daha detaylı bilgileri İngilizce biliyorsanız aşağıdaki linkten öğrenebilirsiniz.
Kaynak (İngilizce): MSI has very insecure Secure Boot defaults · Issue #181 · Foxboron/sbctl
Son düzenleyen: Moderatör: