На множестве материнских плат MSI по умолчанию установлены небезопасные настройки Secure Boot

Похоже, на материнских платах MSI обнаружили существенный недочёт в настройках работы Secure Boot — протокола защиты системы во время загрузки, осуществляющего проверку цифровых подписей программного обеспечения. Энтузиаст Давид Потоцкий (Dawid Potocki) обнаружил на своей материнской плате MSI Pro Z790-A WiFi, что при включении Secure Boot дополнительные политики загрузки носителей по умолчанию настроены так, что разрешают загрузку любого образа операционной системы (Always Execute), независимо от того, подписан он или нет, передаёт ресурс Neowin. Такие настройки проходят проверку Windows 11, где Secure Boot обязателен, системе достаточно информации, что протокол задействован, но фактически нарушают безопасность. Потоцкий заинтересовался, как обстоят дела на решениях других производителей и выяснил, что на материнских платах ASRock, ASUS, Biostar, EVGA, Gigabyte, NZXT, а также на ноутбуках самой MSI настройки по умолчанию не нарушают безопасность Secure Boot. Далее специалист решился на длительную проверку других плат MSI для настольных компьютеров и поиск прошивки, в которой злополучные настройки были изменены. Проверка была выполнена для огромного количества плат на 29 различных чипсетах AMD и Intel. В результате составлен список плат с небезопасным сочетанием настроек Secure Boot, а также версиями BIOS, где данное сочетание было установлено. Самые ранние BIOS датированы третьим кварталом 2021 года. Список плат очень большой, он опубликован на GitHub. Итог: нужно проверять второстепенные настройки, не надеясь на главный переключатель. Владельцам плат MSI, заинтересованным в полноценной работе Secure Boot, нужно проверить политики, которые могут находиться по пути: Settings\Advanced\Windows OS Configuration\Secure Boot\Image Execution Policy. Источники Dawid Potocki: запись в блоге, список плат на GitHub Neowin