Secure Boot es un estándar de la industria para garantizar que los dispositivos Windows no carguen firmware o software malicioso durante el proceso de inicio. Si lo tiene activado, como debería hacerlo en la ma yoría de los casos, y es la configuración predeterminada exigida por Microsoft, bien por usted. Sin embargo, si está utilizando uno de los más de 300 modelos de placas base fabricados por el fabricante MSI en los últimos 18 meses, es posible que no esté protegido.
Introducido en 2011, Secure Boot establece una cadena de confianza entre el hardware y el software o firmware que arranca un dispositivo. Antes del arranque seguro, los dispositivos usaban un software conocido como BIOS, que se instalaba en un pequeño chip, para indicarles cómo arrancar y reconocer e iniciar discos duros, CPU, memoria y otro hardware. Una vez finalizado, este mecanismo carga el bootloader, que activa tareas y procesos para la carga de Windows.
El problema era: el BIOS cargaba cualquier gestor de arranque que estuviera ubicado en el directorio adecuado. Esa permisividad permitió a los piratas informáticos que tuvieron acceso breve a un dispositivo instalar cargadores de arranque falsos que, a su vez, ejecutarían firmware malicioso o imágenes de Windows.
Cuando Secure Boot se desmorona
Hace aproximadamente una década, el BIOS fue reemplazado por UEFI (Interfaz de firmware extensible unificada), un sistema operativo por derecho propio que podía evitar la carga de controladores de sistema o cargadores de arranque que no estaban firmados digitalmente por sus fabricantes de confianza.
UEFI se basa en bases de datos de firmas de confianza y revocadas que los OEM cargan en la memoria no volátil de las placas base en el momento de la fabricación. Las firmas enumeran los firmantes y los hashes criptográficos de cada cargador de arranque autorizado o aplicación controlada por UEFI, una medida que establece la cadena de confianza. Esta cadena garantiza que el dispositivo se inicie de forma segura utilizando solo un código conocido y confiable. Si se programa la carga de un código desconocido, el Arranque seguro cierra el proceso de inicio.
Un investigador y estudiante descubrió recientemente que más de 300 modelos de placas base de MSI con sede en Taiwán, de manera predeterminada, no implementan el arranque seguro y permiten que se ejecute cualquier gestor de arranque. Los modelos funcionan con varios hardware y firmware, incluidos muchos de Intel y AMD (la lista completa es aquí). La deficiencia se introdujo en algún momento del tercer trimestre de 2021. El investigador descubrió accidentalmente el problema al intentar firmar digitalmente varios componentes de su sistema.
“El 11 de diciembre de 2022, decidí configurar el Arranque seguro en mi nuevo escritorio con la ayuda de sbctl”, Dawid Potocki, un investigador nacido en Polonia que ahora vive en Nueva Zelanda, escribió. “Desafortunadamente, descubrí que mi firmware estaba… aceptando todas las imágenes del sistema operativo que le di, sin importar si era de confianza o no. No era la primera vez que autofirmaba el arranque seguro, no lo estaba haciendo mal”.
Potocki dijo que no encontró indicios de que las placas base de los fabricantes ASRock, Asus, Biostar, EVGA, Gigabyte y NZXT sufran la misma deficiencia.
El investigador continuó informando que el Arranque seguro roto fue el resultado de que MSI cambió inexplicablemente su configuración predeterminada. Los usuarios que deseen implementar el arranque seguro, que en realidad deberían ser todos, deben acceder a la configuración de la placa base afectada. Para hacer eso, mantenga presionado el botón Supr en el teclado mientras el dispositivo se está iniciando. Desde allí, seleccione el menú que dice Security\Secure Boot o algo por el estilo y luego seleccione el Image Execution Policy submenú. Si su placa base se ve afectada, los Medios extraíbles y Medios fijos se establecerán en “Ejecutar siempre”.
imágenes falsas
Para solucionarlo, cambie “Ejecutar siempre” para estas dos categorías a “Denegar ejecución”.
en un Publicación de reddit publicado el jueves, un representante de MSI confirmó los hallazgos de Potocki. El representante escribió:
Configuramos de forma preventiva el Arranque seguro como Habilitado y “Ejecutar siempre” como la configuración predeterminada para ofrecer un entorno fácil de usar que permite a múltiples usuarios finales flexibilidad para construir sus sistemas de PC con miles (o más) de componentes que incluían su opción integrada. ROM, incluidas las imágenes del sistema operativo, lo que da como resultado configuraciones de mayor compatibilidad. Para los usuarios que están muy preocupados por la seguridad, aún pueden configurar la “Política de ejecución de imágenes” como “Denegar ejecución” u otras opciones manualmente para satisfacer sus necesidades de seguridad.
La publicación decía que MSI lanzará nuevas versiones de firmware que cambiarán la configuración predeterminada a “Denegar ejecución”. El subreddit vinculado anteriormente contiene una discusión que puede ayudar a los usuarios a solucionar cualquier problema.
Como se mencionó, Secure Boot está diseñado para evitar ataques en los que una persona que no es de confianza obtiene subrepticiamente acceso breve a un dispositivo y manipula su firmware y software. Tales hacks generalmente se conocen como “ataques de Evil Maid”, pero una mejor descripción es “ataques de Stalker Ex-Boyfriend”.