Пользователям Windows и Linux осталось неделя для обновления ключей Secure Boot

До 24 июня пользователям Windows и Linux необходимо обновить криптографические ключи, обеспечивающие безопасность процесса загрузки. Истечение срока действия трех сертификатов, являющихся основой технологии Secure Boot, лишит системы защиты от вредоносного ПО, загружаемого до операционной системы.

Secure Boot — это механизм, разработанный Microsoft, который проверяет цифровые подписи загружаемого кода, гарантируя его подлинность. Это предотвращает установку загрузочных вирусов (bootkits), которые внедряются до запуска ОС и антивирусных программ, что делает их крайне сложными для обнаружения.

В 2018 году была зафиксирована первая реальная атака на UEFI с использованием вредоносного ПО LoJax. С тех пор обнаружены и другие UEFI bootkits, такие как MosaicRegressor, ESpecter, FinSpy и MoonBounce.

В ответ на угрозы Microsoft совместно с производителями устройств разработала Secure Boot. Стандарт использует криптографические подписи для предотвращения подмены легитимной прошивки на вредоносную. Если компонент при загрузке не проходит проверку, система отказывается запускаться.

Недавнее обнаружение уязвимостей LogoFail в UEFI потребовало от Microsoft обновления криптографических подписей. Старые сертификаты, датированные 2011 годом, заменяются на новые, выпущенные в 2023 году. Microsoft уже обновляет системы Windows 10 и Windows 11.

Дистрибьюторы Linux обновляют «шим» (shim) — загрузчик UEFI, служащий мостом между ключами Secure Boot и загрузчиком Linux. Системы, на которых не будут обновлены ключи Secure Boot, продолжат работать, но потеряют защиту от новых UEFI-угроз.

На компьютерах с Windows проверить статус обновления можно в «Безопасность Windows» > «Безопасность устройства» > «Secure Boot». Зеленая галочка означает завершение. Большинство систем обновляются автоматически, но старые устройства могут потребовать ручного вмешательства. Пользователям Linux следует следить за выпуском новых версий «шим» от своих дистрибьюторов.