Zahlreiche Motherboards von MSI betroffen: Secure Boot ohne Funktion

Und Microsoft ist wie bei Browsern kein Move zu schäbig, um Alternativen rauszudrängen oder ganz zu unterbinden... natürlich alles NUR im Sinne des Users und seiner Sicherheit.
Joa oder eben auch andere zertifizierte Antivirenhersteller, weil du den Defender nicht wirklich aus dem System aus der Aktivität rauskriegst... :d

Gruss Dennis
Beitrag automatisch zusammengeführt:

Kann man nicht.


Wieder ein ganz anderes Thema.


Wenn man inhaltlich nicht weiter kommt... .


Dann bootet gar keine Software mehr, bis du wieder Keys importiert oder Secureboot deaktiviert hast.


Soweit kommst du gar nicht.
aha, was machen denn AV-Hersteller wenn die bei HTTPS dazwischeneiern... :popcorn: (Signaturen fä....)

Nope, Ursache, Sympomatik, Gegenwirkung wenn man was im Wirsing hat

Weil du immernoch nicht die Zusammenhänge verstehst und nicht verstehen willst

Was Quatsch ist, wenn ich n Biosupdate gemacht habe und CMOS-Clear muss ich mein MS-Konto neu einloggen, mit der Google Authenticatorapp und da steht mit rein garnichts im Wege, komisch nech ? :d
Siehe den Satz davor....über dieser Zeile

Ganz easy ausargumentiert, mit Fakten

So in diesem Sinne, wie schon so oft hier im Forum...

Gruss Dennis
Beitrag automatisch zusammengeführt:

Puh, selbst wenn in den Beiträgen von Dennis was korrektes drin stehen würde, habe ich irgendwie gar keine Lust mich durch die zusammengefassten Beiträge zu wühlen.
Musst du auch nicht @Mr.Mito hat exakt das zitiert was du am besten zu tun hast und damit ist dieses Thema für dich im Alltag erledigt

Some example locations:

  • Settings/Advanced/Windows OS Configuration/Secure Boot
  • Security/Secure Boot

Then change "Always Execute" to "Deny Execute" on "Removable Media" and
"Fixed Media". Optionally you can also change "Option ROM" to "Deny
Execute", read more about Option ROMs:
Mehr Informationen findest du in dem wirklich guten Artikel mit Quellen drin, auch zu dem hier

Gruss Dennis
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
><((((*>
 
n guter Freund von mir programmiert übrigens, der kann die von den ach so tollen Signaturen, Lieder singen... :ROFLMAO:

Beispielweise deshalb wenn du in executables keine Signatur drin hast, dann ärgert dich nämlich Defender und jedes andere AV ganz gewaltig...
Kann jeder der Programmieren kann und dies auch tut, hier sicherlich genauso ein Lied davon singen....
Beitrag automatisch zusammengeführt:

"Und ich nenn ihn den Döner-Kebap tritt... weil ich mich dabei Drehe wie am Spiess...so richtig soo BÄM mache ne..."
So ab 1:23 etwa :d , da fällt der Bullshit-Blubber zweimal um wie ein nasser Sack :d

:lol:

Gruss Dennis
 
Zuletzt bearbeitet:
Bleib gern in deiner Unwissenheit, jeder Normaldenkende wird das hier schon entsprechend überblicken können.
 
"dunning kruger syndrom" hiess es, ich weiss das du einer dieser Konsorten hier bist und andere Blicken es genauso...

Gruss
 
Wenn in einer News was von "Sicherheitsforscher" steht braucht man eigentlich nichts weiterlesen. zu 99% nichts von Wert in der News sondern eher was fürs Sommerloch in der Bild der Frau zu stopfen.
 
Wenn in einer News was von "Sicherheitsforscher" steht braucht man eigentlich nichts weiterlesen. zu 99% nichts von Wert in der News sondern eher was fürs Sommerloch in der Bild der Frau zu stopfen.
So kann man das durchaus auch sehen, alleine aus der Praxis heraus, das es bei so einigem absolut nicht im Wege steht, das die Kiste bootet wo es aber schon Probleme machen sollte, ich den Techlogi-Quatsch hier durch und durch wiederlege...
Selbst wenn man nun nich die beschriebenen Optionen bei aktiviertem SecureBoot auf "Custom" im Bios umstellt, wird das sicherlich nicht die Sicherheitslücke sein, wodurch man dich infiltriert von ausserhalb mit Viren, da ist dann erstmal der typische Defender-User mit dem Defender dran schuld weils ja so viel "besser" ist als alles andere.
Das mit der Kernelisolierung und der Speicherintegrität kann man dem ja lassen, bringt aber sicherlich auch nicht viel besseres wenn ansonsten nur der Phishingschutz ganz gut ist, gegen Viren, zumal es kaum noch Viren gibt, logisch schneidet ein Defender dann in einem Vergleich mit bekannten Viren gut ab :lol:

Gruss Dennis
Beitrag automatisch zusammengeführt:

Man könnte genausogut natürlich auch Schreiben "Secure Boot" war schon immer ohne sinnvolle Funktion, weil es wie die Windows-Firewall erstmal fleissig durchreichregeln erstellt anstelle zu Fragen wobei auffallen könnte das man mal was zu überprüfen hat ob das okay ist das des überhaupt läuft und denn noch Connectionpakete mit dem Internet oder dem Netzwerk austauschen will.

Tipp... Die "Windows Firewall Control"

Von Ashampoo gibt es sowas auch, war auch nicht so übel zu WinXP-Zeiten jedenfalls und mit 98SE/ME war es noch die "Sygate..." irgendwas, die hatte nen Kumpel von mir

Wovon man nicht weiss, was man da ausführt, kann man nicht trauen, gehört gelöscht und wenn dann von Quellen (Server/Internetseiten) denen man vertraut/vertrauen kann (und ja dann tuts auch der Defender ohne gefühlt jeden Zweiten Tag da herumfrickeln zu müssen den rauszubekommen, besser macht den das als alles andere aber auch nicht)

Gruss Dennis
Beitrag automatisch zusammengeführt:

@Techlogi
aber mal Spass beiseite und ich mein des auf keines weges böse,
vielleicht blickst du aber auch mal das eine manipuliter executable, die vielleicht auch noch als jpg/jpeg oder bmp getarnt ist für den User, sogar wenn es richtiger Schadcode ist, eine originale Signatur enthalten kann, da brauchst du nichtmal eine Fälschen, du braucht doch bloss die richtigen Stellen inkl. Fileheader unangetastet lassen.
Deswegen der Wink auch mit dem AV-Zaunpfahl, mit den Signaturen, denn genau da geht das Problem los, Signaturen sind zu ignorieren mit einem AV, denn danach isses wie man sieht definitiv zu spät, es sei denn es ist verbessert in Verbindung mit einem viel früher fähigem TPM als es zuvor anfangen konnte zu funktionieren....

Und auch dieses TPM halte ich eher für sinnvoll so oder so, während ein OS bereits aktiv ist, nicht beim oder zum Booten des OS mit dem Bootloader, wenn es dort schon hinkam, isses zu spät und durch viele andere Baustellen schon durch Rohbauten sind die durch, die 14 Jährigen Script-Rabauken mit Stuff ausm Darknet....

Ich hab ja noch nen Funken Hoffnung und mache mir die Mühe...
Um das zu blicken muss man nämlich kein Ingenieur sein :coffee2: (gesunder Menschenverstand, logisches Denken und in Sachen IT wirklich sich nen richtigen Plan draufgeschafft haben)

Gruss Dennis
 
Zuletzt bearbeitet:
Noch ein Tipp zum Thema Signaturen;
fuchtelt mal ein wenig mit nem Hexeditor über exedateien drüber, "Header"
Das sind Taschenspielertricks wie mit "Cheatenginge", was meint ihr wo die krassen Zeiten in SOTTR herkommen wo man da auch im Mulitplayer online mitm Kumpel im Koop durchrennen kann...?!??
Der Header legt fest, was genau von wo bis wo in der gesamten Dateigrösse drin ist, ist ähnlich wie die Container bei mp4 oder mkv, nur das da dir Codecs drinstehen und was von wo bis wo audiocodec ist und was der videocodec und von wo bist wo halt die Bilder pro sekunde sind, sowie Abtastrate und welche audioformat, sei es flac, pcm/wav-verlustfreie kompression.

Dafür muss man auch kein Ingenieur sein und ebenso auch nichtmal Programmieren können, schafft euch mal ein wenig Grundlagenwissen drauf, bevor ihr mein mit eurem Blödsinn so gewisse Konsorten wir du @Techlogi mir hier schräg kommen zu wollen :ROFLMAO:

Is wie immer, die Massenverdummung greift total was, macht man nur weiter so, alles digitale Unterschriften dafür das ihr keinen Plan habt, könnt ihr eure Nicks denn bald an Nagel hängen, lernt endlich mal was
....
Man muss eine Signatur halt also nichtmal "fälschen", man kann die einfach unberührt lassen.
Genau aus diesem Grund kann man auch einem Biosfile, BIN, also binär und somit 1:1 einfach nur ausgeführt, einem Mainboard unter dem allerwertesten, dem Bios halt den Microcode auch selber austauschen.
Was das hier möglich macht/e

Und 100% kann man das mit aktuelleren Boards mit (U)EFI immernoch machen wenn die EOL sind, nur vielleicht einfach mit anderen Tools, die die Hersteller bzw. deren Mitarbeiter halt selber nutzen, oder eben welche die aber dasselbe praktisch halt machen.
Weil das mit etwas Workflow halt richtig schnell und einfach geht und nich so wie ich der das mal macht und zum ersten mal in seinem Leben, fast ne halbe Stunde braucht und weil er auf Nummer sicher geht, Zeit dabei vertrödelt, man sieht es halt im Video wenn man aufmerksam zuschaut, denn erklärt hab ich es ja auch

Da wird auch nur die Position von wo, bis wo identifiziert, durch n Abgleich und dann halt ausgetauscht, Bumms, aktueller CPU-Mikrocode im Biosfile, ohne da Bios auch nur ansatzweise zu verändern und jetz kommt ihr mit eurem Secure Boot.... :ROFLMAO:
Wenn jemand böswillig in einem Unternehmen vor der Schicht was vorbereitet hat und das irgendwie hinbekommt, das es niemand mitbekommt, dann gibts den nächsten Valve-Leak :coolblue:
 
Zuletzt bearbeitet:
Auf Reddit hat MSI Stellung genommen. Demnach sei die bemängelte Standardeinstellung von Secure Boot nach dem Aspekt der Anwenderfreundlichkeit und Kompatibilität gewählt worden. Nutzer, die auf Sicherheit bedacht sind, könnten die Ausführungsrichtlinien entsprechend anpassen.

MSI wolle aber neue BIOS-Versionen bereitstellen, bei denen die Einstellung „Deny Execute“ standardmäßig ausgewählt ist.
Quelle CB

Gruss Dennis
 
@nebulus1
@Mr.Mito
Wie nennst du es dann, wenn man ein Security Feature aktiviert und dann die Einstellungen soweit verändert, dass es ad absurdum führt?
Wer Linux betreiben will, wird schon eine Lösung finden und Secure Boot selbstständig ausmachen. Damit sind aber potentiell Tausende wenn nicht Millionen Kunden ungeschützt unterwegs.

Secure Boot funktioniert bei 99% aller Boards und Notebooks wenn es aktiviert ist. Für die Consumer Boards (was MSI nunmal ist) wurde es eben in den ""Image Execution Policy" Modus gesetzt. Nicht schön aber für den User schöner als dass man Windows 11 nicht installieren kann. Schuld hat hier auch ein wenig MS!
Wenn der User es im Bios/Uefi ausschalten darf, dann bringt der Schutz eben nichts. Darauf war meine Passwort Bemerkung gemeint. Wir setzen Lenovo Notebooks ein und ein UEFI Passwort ist gesetzt. Ebenfalls verwenden wir eigene Secure Boot Schlüssel im UEFI. So ist es gar nicht mehr möglich ein anderes Medium zu booten, als unser eigenes.

Das Secure Boot in keinster Weise vor irgend was schützt ist auch nicht schwierig zu verstehen. 80% aller Trojaner kommen über Outlook rein und nisten sich trotz Virenscanner im OS fest. Dafür hat Windows einfach zu viele Exploits. Schon für $500 gibt es exploits zu kaufen, die alles mögliche auf deinem Rechner installieren. Da waren die heimlichen Cryptominer die im Hintergrund liefen noch harmlos gegen.
 
Zuletzt bearbeitet:

Manipuliert ein Angreifer den Bootloader, kann der Anwender auch dem Kernel nicht trauen, den dieser Bootloader lädt. Steckt in der Firmware selbst eine Backdoor, gibt es keine Möglichkeit, die korrekte Funktion von Secure Boot zu überprüfen. In diesem Fall hilft es auch nicht, dass Secure Boot es der Firmware erlaubt, einen Bootloader vor dem Ausführen zu validieren.
...
Secure Boot is ohne TPM wie ich schon schrieb useless
Das wissen wir eigentlich also auch locker schon seit 2017 :d

Gruss Dennis
 
@Shutterfly
es gibt von mir nur korrektes...

Zum Thema bezüglich Signaturen
3.jpg1.jpg2.jpg

Wenn bei sowas der Defender sowie andere AV's nicht anspringen dann ist halt definitiv was falsch

Ich hab jetz nicht den Masterplan wo genau bei Dateien diese Datum-Daten drinstehen, ich vermute aber mal den Header, das ist das eine.
Das andere ist, sowas selbst geschriebenes, wenn man den Plan für sowas schon hat, dann ist man von gewissen anderen Sachen nicht mehr weit
beispielsweise dir was nicht ganz koscha an Dateien unterzujubeln.
Dazu braucht man nämlich ähnliches Wissen bzw teilweise dasselbe und ebenso das KnowHow

Ich will denjenigen nicht Bezichtigen, aber Fakt ist mal das er davon sowas zu können nicht weit weg ist.
Mal ganz davon ab wozu man sowas dann schon brauchen sollte...

Gruss Dennis
 
Der "Professor Lustig" schreibt, dass ab dieser Version der Standard geändert wurde und dein Changelog wiederlegt das auch nicht, sondern sagt nur, dass der Standard geändert wurde. Es ist seit dem also per default an, aber scheinbar eben mit gesetztem "always execute" für unsignierte Bootloader.
Du weißt doch gar nicht, was MSI für ein Setting als Standard Mode im UEFI Code hinterlegt hat. "Standard" kann MSI auch Settings wie z.b. Allow Execute, Deny Execute, Defer Execute usw. hinterlegt haben. :unsure:
Standard Mode muss also nicht dem default Mode entsprechen, wo dann wirklich alles auf Allways Execute stehen dürfte.
Aber ich schaue mir das heute mal inkl. eines Bios vor der gecancelten E7D25IMS.143 Beta Version an und vergleiche die zb. ältere E7D25IMS.130 Rom mit der neuesten E7D25IMS.1A0 Rom.

....

edit: So, ich habe mir das mal anhand der aktuellsten UEFI FW. E7D25IMS.1A0 vom 11.01.2023 angeschaut und es stimmt schon, wenn man Secure Boot von Standard auf Custom umstellt (vorher hat man keinen Zugriff auf die Untermenüs Key Management, Image Execution Policy usw.) dann ist das interne Firmware Volume @ Always Execute gesetzt:

MSI_SnapShot1.png

..kann man aber mit wenigen Klicks ändern und abspeichern:

MSI_SnapShot2.png MSI_SnapShot3.png

..dann passt's. Also alles kein Hexenwerk und wer Wert auf Safe legt, der schaut sich eh im UEFI vorher schon an ob die Settings passen und ändert die entsprechend.
Also mal wieder viel Tamtam um nix. Newstime Winterloch! :giggle:
 
Zuletzt bearbeitet:
Du weißt doch gar nicht, was MSI für ein Setting als Standard Mode im UEFI Code hinterlegt hat. "Standard" kann MSI auch Settings wie z.b. Allow Execute, Deny Execute, Defer Execute usw. hinterlegt haben. :unsure:
Standard Mode muss also nicht dem default Mode entsprechen, wo dann wirklich alles auf Allways Execute stehen dürfte.
Aber ich schaue mir das heute mal inkl. eines Bios vor der gecancelten E7D25IMS.143 Beta Version an und vergleiche die zb. ältere E7D25IMS.130 Rom mit der neuesten E7D25IMS.1A0 Rom.

....

edit: So, ich habe mir das mal anhand der aktuellsten UEFI FW. E7D25IMS.1A0 vom 11.01.2023 angeschaut und es stimmt schon, wenn man Secure Boot von Standard auf Custom umstellt (vorher hat man keinen Zugriff auf die Untermenüs Key Management, Image Execution Policy usw.) dann ist das interne Firmware Volume @ Always Execute gesetzt:

Anhang anzeigen 844221

..kann man aber mit wenigen Klicks ändern und abspeichern:

Anhang anzeigen 844222 Anhang anzeigen 844223

..dann passt's. Also alles kein Hexenwerk und wer Wert auf Safe legt, der schaut sich eh im UEFI vorher schon an ob die Settings passen und ändert die entsprechend.
Also mal wieder viel Tamtam um nix. Newstime Winterloch! :giggle:
Wie gesagt der Sicherheitsexperte sollte entlassen werden... Wer sein Bios/Uefi nicht richtig einstellen kann, sollte den Beruf wechseln.
 
Ich hatte gerade mal just for Fun das ältere UEFI E7D25IMS.130 geflasht, dort gibt es das Untermenü Image Execution Policy überhaupt gar nicht.
Secure Boot lief @ default schon im Custom Mode, manuelle Eingaben wurden aber nicht übernommen. Im Grunde gab es da auch nur die Key Management Konsole.
Ich hätte gerne einen Screen via F12 auf Stick gemacht aber auch das war in dieser UEFI Version noch nicht möglich und verbugt (No USB Media Storage detected).
Wie vieles andere halt, was nachgefixt wurde. :)
 
..kann man aber mit wenigen Klicks ändern und abspeichern:
Das Problem ist doch aber eher, dass man nicht damit rechnet, dass unsigned code trotz aktivem Secureboot gestartet wird. Mal ganz vereinfacht ausgedrückt: Wenn ich ne Firewall installiere und die sagt "protected" dann rechne man ja auch nicht damit, dass standardmäßig alles ungeprüft durchgelassen wird.
Ja klar, es ist nicht wirklich ein Bug (works as intended), eher ne fehlerhafte Grundkonfiguration, aber es läuft ja am Ende aufs gleiche hinaus.
 
Zuletzt bearbeitet:
Naja, wenn es danach geht dürftest du dir als Intel Hardware Nutzer auch nie die Intel ME Firmware aufspielen.
Denn irgendwo wird es schon seinen Grund haben, warum Intel sich bis heute weigert, den QC dafür offen zu legen.
Und wenn man sich einmal überlegt, worauf die ME hardwareseitig im UEFI alles Zugriff hat (eigentlich auf alles) und auch die Boardpartner daran nichts machen können da sich die FW. in den geschützten Bereich (Area 1-3) brutzelt und auch nicht von einen UEFI bzw MC Update überschrieben wird, dann dürfte dieser Secure Boot Bug eher Mumpitz dagegen sein. Denn das kann man ja mit wenigen Einstellungen aus der Welt schaffen. ME aber nicht. Das war schon immer da und bleibt auch immer da.

Die ME ist nicht vollständig dokumentiert, die Firmware teilweise geheim. Daher ist der genaue Funktionsumfang unklar. Gleichzeitig läuft die ME jedoch unabhängig vom eigentlichen System und hat dabei Zugriff auf das gesamte RAM, sämtliche Schnittstellen und Bussysteme (PCI Express, USB, SATA, …), auch auf das Netzwerk. Ein unkontrollierbares System mit unklarem Funktionsumfang, das Zugriff auf sämtliche Daten hat, stellt ein potenzielles Sicherheitsrisiko dar, weil es Sicherheitslücken oder Hintertüren enthalten könnte.
Die ME führt außerdem nur Code aus, der kryptografische Signaturen von Intel enthält. Da die ME wiederum zur Sicherung des UEFI-BIOS-Code sowie damit auch für Secure Boot verwendet werden kann, bestimmt letztlich Intel, welche Firmware und welches Betriebssystem ein PC ausführen darf. Das ist eine Entmachtung des Nutzers und hebelt etwa auch die vollständige Systemkontrolle aus, die der Gesetzgeber für kritische Infrastrukturen (KRITIS) vorschreibt.
tn_ciw.ME-Grafik-98221.mbr_IG.jpg


..und dann macht man um ein paar lächerliche Secure Boot Settings, die jeder Noob mal ebend in der Bonbon Pause ändern kann, so einen News Aufriss? :unsure:
 
Zuletzt bearbeitet:
Bzgl. der Intel ME hast du natürlich Recht, allerdings ändert das ja nichts an der Problematik der falschen SB-Konfiguration durch MSI. SB soll dafür sorgen, dass nur signed Code gestartet wird, genau das wird aber durch die (bisherige?) Standardkonfiguration von MSI außer Kraft gesetzt.
Anderes Beispiel: Wenn man im OS ein PW zum Login setzt, dann geht man ja auch davon aus, dass eben nur dieses PW akzeptiert wird und man nicht erst in den Einstellungen von "akzeptiere jedes PW" auf "akzeptiere nur das gesetzte PW" stellen muss.
 
Die Sicherheitsinteressen z.b von M$ sind nicht unbedingt die selben des Benutzers wie oben schon erwähnt bzgl Defender.Deswegen finde ich solche berichte von unabhängigen experten schon sehr nützlich.Wenn schwachstellen Public gemacht werden ist das besser als wenn die Jahre unerkannt bleiben.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh