Secure Boot (безопасная загрузка) уже более десяти лет является основным протоколом материнских плат для персональных компьютеров, но похоже, что MSI забыла про это. Специалист по безопасности недавно обнаружил, что за последние годы MSI выпустила более 300 материнских плат с отключенной функцией Secure Boot. Это оставляет системы открытыми для потенциально вредоносных прошивок, но хорошая новость заключается в том, что вы можете исправить это, быстро зайдя в настройки материнской платы.

До появления Secure Boot старые прошивки BIOS на материнских платах просто загружали устройства по списку, распознавая жесткие диски, память, процессоры и другие устройства. Затем дело доходило до загрузчика, который инициализировал установленную ОС и BIOS запускал ОС без дополнительных проверок. Хакеры использовали эту уязвимость для заполнения загрузчиков вредоносным кодом, который мог неоднократно заражать Windows.

Ситуация изменилась с появлением в 2011 году UEFI (Unified Extensible Firmware Interface) и Secure Boot. Теперь у материнских плат есть список разрешенных подписей от OEM-производителей, хранящийся в энергонезависимой памяти. Если загрузчик не подписан должным образом, он не загрузится, если по какой-либо причине не отключена безопасная загрузка. Давид Потоцкий сообщил, что прошивка "материнки" MSI его компьютера принимает все образы ОС, даже те, у которых нет надежных подписей. Потоцкий считает, что материнские платы других производителей, таких как Asus, Gigabyte и NZXT, не имеют такой проблемы. Специалист выложил список уязвимых материнских плат на GitHub.

Оказывается, небезопасные материнские платы являются результатом того, что MSI изменила свои настройки по умолчанию около 18 месяцев назад. С тех пор все ее системы UEFI поставляются с отключенной безопасной загрузкой. Если у вас есть компьютер на базе MSI, вы можете получить доступ к интерфейсу UEFI во время запуска, нажав клавишу DEL. В меню «Безопасность» > «Безопасная загрузка» вы можете увидеть «Всегда выполнять» в качестве значения по умолчанию. Это означает, что система загрузит любую ОС независимо от ее подписи. Чтобы ваша система работала так, как рекомендует сама Microsoft, вам придется изменить "Fixed and Removable Media" на “Deny Execute.

Со стороны MSI это точно не было случайностью. Согласно официальной учетной записи MSI на Reddit, компания изменила настройки по умолчанию, чтобы «предложить удобную для пользователя среду». Это странный выбор, учитывая, что другие OEM-производители не утруждают себя этим, и у подавляющего большинства пользователей нет никаких проблем. Однако MSI решила изменить настройки по умолчанию из-за гневных сообщений своих клиентов. В будущих платах будет включена безопасная загрузка, и она будет предоставлять обновленные файлы BIOS для существующих плат.