Casi 290 placas base de MSI tienen un problema con el arranque seguro
El arranque seguro resulta que no tiene nada de seguro, al menos hasta ahora y desde un punto, puesto que se ha detectado un fallo en un gran número de placas base MSI que arrastran desde hace tiempo precisamente con este sistema. El llamado Secure Boot presenta un fallo que lo hace totalmente inseguro hasta el punto de que realmente no funciona, no verificando la firma de cada pieza de hardware y software, lo que deja vendido el equipo ante un atacante, puesto que las claves de inicio no se cargan como tal. El número de placas base afectadas es terrible y por ahora la solución pasa por nuestras manos, al menos hasta que MSI saque nuevo Firmware para Secure Boot.
Microsoft denomina al Secure Boot, o Inicio Seguro, como un estándar de seguridad desarrollado por miembros de la industria de PC para ayudar a garantizar que un dispositivo se inicie utilizando solo software en el que confía el fabricante de equipos originales. Por lo tanto, podemos entender la gravedad del asunto dado que esto no se está cumpliendo.
Un firmware de MSI cambió la configuración de Secure Boot
No es que sea insegura tu placa base MSI porque haya un problema de seguridad, una brecha como tal, tranquilo, no van por ahí los tiros. Simplemente es un cambio en la configuración de la función de arranque seguro que carga cualquier imagen de software, Windows incluido, sin preguntar la legitimidad, lo que, ahora sí, supone un problema de seguridad como tal.
Explicando el problema en Github, Dawid Potocki, un estudiante, se dio cuenta del problema al ver que el firmware de su placa base no verificaba cada parte del software y cargaba el SO tuviese o no una firma válida. Tirando del hilo se dio cuenta de que el problema venía de una modificación que introdujo MSI en su firmware para Secure Boot a principios del año pasado y que había pasado inadvertido hasta ahora, porque todo se carga bien, lógicamente.
Sin arranque seguro no se necesita verificación, ¿se puede arreglar?
Pues sí, y de manera sencilla. Hay que entrar en el apartado de la BIOS de Arranque Seguro y luego en "Política de ejecución de imagen" (Image Execution Policy) tras lo cual hay que cambiar el parámetro de Ejecutar Siempre por "Denegar Ejecución".
Hecho esto, Secure Boot debe de cargarse correctamente comprobando cada firma y posteriormente el Sistema Operativo, haciendo su correspondiente función de seguridad. El número de placas base afectadas es inmenso, puesto que se han contabilizado más de 290 (se puede consultar en el enlace de Github más arriba) y el número sigue escalando lentamente. No importa si tu plataforma es Intel o AMD, es indistinto, la configuración de la BIOS está mal para ambos tipos de procesadores y afecta a placas de toda índole.
MSI ya ha sido informada al parecer, aunque todavía no ha ofrecido un comunicado, es probable que en los próximos firmwares corrijan esto, ya que es algo muy sencillo de realizar. Pero igualmente, tendrá que ofrecer explicaciones sobre el por qué desactivó esta función de seguridad tan importante para cualquier PC y placa base actual, puesto que deja a los usuarios expuestos ante ciertos ataques.