Windows 11: Einstellung in MSI-Mainboards schaltet Secure Boot ab

Das in Windows 11 vorgegebene Sicherheitsfeature Secure Boot, das eigentlich für ein sicheres Hochfahren des Rechners zuständig ist, ist mehr als ein Jahr lang auf MSI-Mainboards mit falschen Einstellungen gelaufen. Damit können potenziell kompromittierte Betriebssysteme ohne den ursprünglich vorgesehenen Sicherheitscheck von Secure Boot geladen werden. Dies berichtet der Sicherheitsforscher Dawid Potocki in einem Blogpost.

Mittels Secure Boot stellt Microsoft sicher, dass das installierte Windows-Betriebssysteme eine gültige und unbeschädigte Version beinhaltet, indem es signierte und authentifizierte Boot-Dateien abgleicht. Innerhalb der standardmäßigen Secure-Boot-Einstellungen von MSI ist die Option "Image Execution Policy" laut Potocki auf "Immer ausführen" gestellt, weshalb das Mainboard jedes geladene OS unabhängig von der Zertifizierung startet.

Die Liste an betroffenen Modellen ist lang: Mehr als 290 Mainboard- und Firmware-Versionen von MSI sind akut von den Standardeinstellungen betroffen. Die vollständige Aufzählung der fälschlich eingestellten Mainboards hat Potocki auf Github bereitgestellt. MSI selbst hat sich auch auf Nachfrage des Sicherheitsforschers noch nicht zur Problematik geäußert.

Immerhin stellt Potocki eine Lösung für den fehlerhaften Secure-Boot-Vorgang vor. So lässt sich die problematische "Image Execution Policy" Einstellung im BIOS selbst auf eine sichere Option umstellen. Idealerweise wird hier der Wert "Ausführen für entfernbare Medien ablehnen" gestellt, wodurch nur die tatsächlich signierte und zertifizierte Windows-11-Version geladen werde.

Nachtrag vom 19. Januar 2023: MSI verspricht für betroffene Mainboards neue Updates. Diese sollen mit der Voreinstellung "Ausführen für entfernbare Medien ablehnen" kommen.