{"id":277116,"date":"2023-01-21T12:45:38","date_gmt":"2023-01-21T11:45:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=277116"},"modified":"2023-01-21T13:02:36","modified_gmt":"2023-01-21T12:02:36","slug":"bios-bug-auf-msi-boards-verhindert-secure-boot","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/21\/bios-bug-auf-msi-boards-verhindert-secure-boot\/","title":{"rendered":"BIOS-Bug auf MSI-Boards verhindert Secure Boot"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch ein kleiner Nachtrag von dieser Woche zu einem Bug auf Mainboard von MSI. Ein Fehler im BIOS\/UEFI verschiedener Board-Modelle verhindert, dass Secure Boot verwendet wird – auch wenn die BIOS-Einstellung auf Ein<\/em> steht. Der polnische Student Dawid Potocki<\/a> ist k\u00fcrzlich auf diesen Fehler gesto\u00dfen. Nutzer m\u00fcssen die Standardeinstellung des BIOS\/UEFI \u00e4ndern, damit Secure Boot korrekt arbeitet und die Anforderungen Microsofts f\u00fcr Windows 11 auch wirklich erf\u00fcllt.<\/p>\n

<\/p>\n

Microsoft Secure Boot<\/h2>\n

\"\"Laut Microsoft ist Secure Boot<\/a> (deutsch \"Sicherer Start) ist ein wichtiges Sicherheitsfeature, mit dem das Laden von Schadsoftware beim Starten des PCs (Boots) verhindert wird. Der Sicherheitsstandard wurde angeblich von der PC-Branche entwickelt, um sicherzustellen, dass ein Ger\u00e4t nur mit Software startet, die der OEM (Original Equipment Manufacturer) als vertrauensw\u00fcrdig eingestuft hat.<\/p>\n

Beim Starten des PCs \u00fcberpr\u00fcft die Firmware die Signatur der einzelnen Start-Softwarekomponenten, einschlie\u00dflich der UEFI-Firmwaretreiber (auch als Options-ROMs bezeichnet), der EFI-Anwendungen und des Betriebssystems. Wenn die Signaturen g\u00fcltig sind, wird der PC gestartet, und die Firmware \u00fcbergibt die Kontrolle an das Betriebssystem.<\/p>\n

Der OEM kann anhand der Anweisungen des Firmwareherstellers Schl\u00fcssel f\u00fcr \"Secure Boot\" erstellen und diese in der PC-Firmware speichern. Werden UEFI-Treiber hinzugef\u00fcgt, ist sich zustellen, dass diese signiert und in der Datenbank f\u00fcr Secure Boot enthalten sind.<\/p>\n

Bei Windows 11 hat Microsoft Secure Boot verpflichtend vorgegeben. Kritiker bezeichnen die Funktion als Falle, um unliebsame Betriebssysteme von Rechnern auszusperren und Microsofts Windows zu bevorzugen. Es lauert immer wieder die Gefahr, dass eine fehlerhafte Signatur die Ger\u00e4te am Booten hindert.<\/p>\n

Voodoo Secure Boot bei MSI<\/h2>\n

Bei MSI wurde jetzt mit dieser \"wichtigen\" Funktion des Secure Boot gepatzt, und der Vorfall zeigt wieder einmal, dass das Ganze ziemlicher Voodoo ist. Das Ganze wurde vor einigen Tagen publik. Ein Blog-Leser hatte im Diskussionsbereich auf den Artikel<\/a> von neowin.net hingewiesen – das Thema war mir aber bereits unter die Augen gekommen. Nachfolgender Tweet<\/a> verlinkt auf den Artikel MSI's (in)Secure Boot<\/a> von Dawid Potocki.<\/p>\n

\"MSI<\/a><\/p>\n

In aller K\u00fcrze zusammen gefasst: Auf den betroffenen MSI Mainboards gibt es die Option Secure Boot<\/em>, die dieses von Windows 11 geforderte Feature einschalten soll. Die Standardvorgabe ist dabei der Wert Image Execution Policy -> Always Execute<\/em>.<\/p>\n

\"MSI<\/p>\n

Das Problem ist allerdings, dass keinerlei \u00dcberpr\u00fcfung der zu startenden Betriebssystemabbilder erfolgt. Man kann also auch nicht signierte Komponenten booten. Dawid Potock schreibt dazu:<\/p>\n

Wenn wir das Men\u00fc aufrufen, k\u00f6nnen wir die entt\u00e4uschenden Standardeinstellungen sehen. Es findet keine \u00dcberpr\u00fcfung statt. Es ist nutzlos. Es ist nur dazu da, die Anforderungen von Windows 11 zu erf\u00fcllen. Das Betriebssystem hat keine Ahnung, dass Secure Boot nichts tut, es wei\u00df nur, dass es \"aktiviert\" ist.<\/p><\/blockquote>\n

Im Klartext: Microsofts Windows 11 erf\u00e4hrt \"es ist Secure Boot eingeschaltet\" und ist zufrieden. Ob bereits manipulierte Treiber oder Lader in der Boot-Sequenz durchlaufen wurden und die Sicherheitskette unterbrochen haben, interessiert Windows 11 nicht (Security existiert eh nur auf dem Papier und Secure Boot ist da, um \"sie zu knechten\" oder \u00c4rger zu machen, wenn etwas mit den Signaturen schief l\u00e4uft und Maschinen nicht mehr booten).<\/p>\n

Benutzer k\u00f6nnen die Einstellungen von \"Always Execute\" in \"Deny Execute\" f\u00fcr \"Removable Media\" und \"Fixed Media\" \u00e4ndern. Dann sollte Secure Boot wieder pr\u00fcfen. Komisch ist, dass die Optionen \"Allow Execute\" und \"Query User\" gegen die UEFI-Spezifikation versto\u00dfen. Potock ist sich nicht sicher, was der Unterschied zwischen \"Allow Execute\" und \"Always Execute\" ist.<\/p>\n

Der Entdecker des Bugs stellte dann fest, dass nicht nur sein Motherboard betroffen ist, sondern auch weitere Modelle – m\u00f6glicherweise sogar von anderen Herstellern. Potoki hat auf GitHub eine Liste<\/a> der angeblich betroffenen MSI-Mainboards ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kleiner Nachtrag von dieser Woche zu einem Bug auf Mainboard von MSI. Ein Fehler im BIOS\/UEFI verschiedener Board-Modelle verhindert, dass Secure Boot verwendet wird – auch wenn die BIOS-Einstellung auf Ein steht. Der polnische Student Dawid Potocki ist … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,301],"tags":[860,4328,3288],"class_list":["post-277116","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-windows","tag-pc","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277116","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=277116"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/277116\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=277116"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=277116"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=277116"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}