Secure Boot: Microsoft aggiorna i certificati per contrastare le vulnerabilità

Secure Boot, parte integrante delle specifiche UEFI, è progettato per impedire l'esecuzione di software non autorizzato all'avvio del sistema. Questa tecnologia richiede che il PC utilizzi un BIOS UEFI invece del vecchio BIOS legacy. Con Secure Boot attivo, il firmware UEFI trasferisce il controllo solo a bootloader firmati con un certificato memorizzato nel firmware del BIOS, che è generalmente fornito da Microsoft, anche per i bootloader Linux attraverso il componente shim. Tuttavia, vulnerabilità scoperte nel 2023 hanno permesso a bootkit come BlackLotus di disattivare la protezione, rendendo Secure Boot inefficace. Microsoft ha quindi deciso di revocare il certificato utilizzato finora per firmare i bootloader di Windows, richiedendo nuovi bootloader firmati con un nuovo certificato da aggiornare nel firmware UEFI di ogni macchina.

Decisioni di Microsoft e impatti futuri

Per contenere le vulnerabilità, Microsoft ha annunciato la revoca del certificato attuale per i bootloader di Windows compatibili con Secure Boot. Di conseguenza, i nuovi bootloader dovranno essere firmati con un nuovo certificato, che dovrà essere riconosciuto dal BIOS UEFI aggiornato. Questo meccanismo sarà gestito principalmente tramite Windows Update, con l’utilizzo della funzionalità UEFI UpdateCapsule per aggiornare in modo sicuro il database dei certificati (DBX) lato BIOS UEFI. Tuttavia, esistono già preoccupazioni che questa complessa operazione possa incontrare problemi, specialmente perché alcuni software di sicurezza potrebbero impedire l’aggiornamento, e non tutti i firmware potrebbero applicare correttamente il nuovo certificato.

Controllare i certificati nel BIOS UEFI

Windows non offre uno strumento integrato per verificare i certificati a livello BIOS UEFI. È possibile utilizzare comandi PowerShell per installare una cmdlet e recuperare queste informazioni autonomamente. Utilizzando i comandi Install-Module -Name UEFIv2, Set-ExecutionPolicy -ExecutionPolicy RemoteSigned, e Import-Module UEFIv2, è possibile preparare l’ambiente per l’estrazione dei certificati. Successivamente, comandi come Get-UEFISecureBootCerts DB | fl > $env:USERPROFILE\certificati.txt permettono di salvare i certificati in un file di testo, apribile con il Blocco Note di Windows. Questo permette di verificare quali certificati sono attualmente memorizzati nel BIOS UEFI del proprio sistema.

Verifica del certificato del bootloader

Per determinare quale certificato è utilizzato per firmare il bootloader che carica Windows, è possibile scaricare l’utilità Microsoft Sigcheck. Su un sistema Windows a 64 bit, si copia il file "sigcheck64.exe" nella cartella "c:\sigcheck" e si eseguono comandi in una finestra PowerShell con diritti di amministratore. Utilizzando comandi come mountvol U: /s e c:\sigcheck\sigcheck64 -i -h U:\EFI\Boot\Bootx64.efi > %userprofile%\bootloader_cert.txt, è possibile salvare queste informazioni in un file di testo. Analizzando il file, si scopre che il certificato Microsoft Windows Production PCA 2011, che scade nel 2026, sarà rimpiazzato da uno nuovo con scadenza nel 2035. Pare che il nuovo bootloader di Windows 10 e 11 avrà numero di versione 10.0.26089.1001 e scadenza 13 giugno 2035.