غیرفعال‌شدن Secure Boot در بیش از ۳۰۰ مدل از مادربردهای MSI

ویژگی Secure Boot یا بوت امن استانداری امنیتی برای محافظت از دستگاه‌های مبتنی‌بر ویندوز است که برای محافظت از سیستم در طول فرایند راه‌اندازی طراحی شده است. اگر به‌تازگی ویندوز ۱۱ را نصب کرده باشید، احتمالاً با این بخش از تنظیمات سیستم آشنایی دارید. اگر سخت‌افزاری که استفاده می‌کنید شامل Secure Boot نباشد، امکان نصب و اجرای ویندوز ۱۱ را نخواهید داشت.

MSI در ۱۸ ماه اخیر بیش از ۳۰۰ مدل مادربورد تولید کرده است. اگر شما هم یکی از کاربران این مادربوردها هستید، این امکان وجود دارد که سیستم شما نیز در‌معرض آسیب باشد.

Secure Boot در سال ۲۰۱۱ و تقریباً همزمان با ویندوز ۸ ارائه شد. پیش‌از‌آن دستگاه‌ها از نرم‌افزاری به‌ نام بایوس (BIOS) استفاده می‌کردند. بایوس روی تراشه‌ای کوچک نصب شده است که اجزای مختلف سیستم مانند هارد دیسک‌ها، CPU، حافظه و دیگر بخش‌ها را هنگام بوت‌شدن شناسایی و سپس مراحل بارگذاری ویندوز را طی می‌کند. این نرم‌افزار هنوز‌هم در بسیاری از کامپیوترهایی وجود دارد که از سخت‌افزار قدیمی‌تر استفاده می‌کنند؛ اما در سیستم‌های جدید مبتنی‌بر AMD و Intel جای خود را به بوت امن داده است.

مسئله‌ی مطرح درباره‌ی بایوس این بود که هرگونه بوت‌لودر واقع‌ در دایرکتوری مناسب را بارگذاری می‌کرد و به آن اجازه نصب می‌داد. فقدان سخت‌گیری یادشده این امکان را به‌ هکرها می‌داد که با داشتن دسترسی مختصری به یک دستگاه، بتوانند بوت‌لودرهای نامناسب یا ناامنی را روی سیستم‌ نصب کنند؛ مسئله‌ای که در‌ادامه می‌توانست باعث اجرا‌شدن سفت‌افزارهای مخرب شود.

حدود یک دهه پیش، بایوس با UEFI (رابط میان‌افزار توسعه‌پذیر یکپارچه) جایگزین شد؛ سیستم‌عاملی که به‌تنهایی می‌تواند از بارگیری درایورهای سیستم یا بوت‌لودرهایی جلوگیری کند و به‌واسطه‌ی سازنده‌های مطمئنشان امضای دیجیتالی ندارند. UEFI به پایگاه‌های داده‌ی امضاهای مطمئن و ابطال‌شده متکی است؛ امضاهایی که OEMها در زمان ساخت در حافظه‌ی غیرفرّار بارگذاری می‌کنند.

داوید پوتوکی، دانشجوی فناوری اطلاعات و محقق امنیت سایبری، به‌تازگی کشف کرده است که بیش از ۳۰۰ مدل از مادربوردهای MSI در تایوان به‌طور‌پیش‌فرض Secure Boot را اجرا نمی‌کنند و به ‌هر بوت‌لودری اجازه‌ی اجراشدن می‌دهند؛ همان کاری که بایوس انجام می‌داد و آسیب‌های امنیتی به‌همراه داشت. این محقق هنگام تلاش برای امضای دیجیتالی اجزای مختلف سیستم خود و به‌طورتصادفی از این نقص امنیتی مطلع شد.

پوتوکی نوشت‌:‌

به‌گفته‌ی پوتوکی، این نقص فقط در لپ‌تاپ‌های MSI مشاهده شده و هیچ نشانه‌ای از آن در مادربوردهای تولیدکنندگانی مانند ایسوس و ازراک و Biostar وجود نداشته است. د‌رادامه، این محقق گزارش داد که خرابی Secure Boot نتیجه‌ی تغییر تنظیماتی است که MSI به‌طور‌پیش‌فرض روی سیستم‌ها اِعمال کرده است.

کاربرانی که می‌خواهند Secure Boot را پیاده‌سازی کنند، باید به‌ تنظیمات مادربورد آسیب‌دیده‌ی خود دسترسی داشته باشند. برای ورود به‌ تنظیمات این بخش، هنگامی‌که سیستم در حال بوت‌شدن است، کلید Del را نگه‌ دارید و سپس، گزینه Security یا Secure Boot را انتخاب کنید. درنهایت، وارد منو Image Execution Policy شوید. اگر مادربورد سیستم تحت‌تأثیر قرار گرفته باشد، تنظیمات Removable Media و Fixed Media روی حالت «Always Execute» قرار دارند.

Secure Boot را می‌توان به‌طور پیشگیرانه روی Enabled و Always Execute به‌عنوان تنظیمات پیش‌فرض قرار داد. چنین کاری باعث ایجاد محیطی کاربرپسند و انعطاف‌پذیر می‌شود؛ محیطی که به کاربران نهایی امکان می‌دهد تا کامپیوترهای شخصی خود را با اتکا بر هزاران بخش با دربر داشتن گزینه‌ی داخلی ROM و تصاویر سیستم‌عامل بسازند.

کاربرانی که نگرانی زیادی بابت امنیت دارند، همچنان می‌توانند خط‌مشی اجرای تصویر یا Image Execution Policy را روی حالت Deny Execute به‌معنای اجرانشدن یا گزینه‌های دیگر را به‌منظور تأمین نیازهای امنیتی خود به‌صورت دستی تنظیم کنند.

به‌گزارش Ars Technica، ام اس آی نسخه‌های سفت‌افزار جدیدی منتشر خواهد کرد که تنظیمات پیش‌فرض را به Deny Execute تغییر می‌دهد. همان‌طور‌که گفتیم، Secure Boot برای جلوگیری از حملاتی طراحی شده است که در آن فردی نامطمئن به‌طور‌مخفیانه به دستگاه دسترسی پیدا و سیستم‌عامل و نرم‌افزار آن را دست‌کاری می‌کند.