Критический срок для безопасности Windows и Linux
24 июня истекает срок действия трех сертификатов, обеспечивающих защиту Secure Boot от UEFI-загрузчиков, что требует срочного обновления ключей.
Пользователям Windows и Linux необходимо как можно скорее обновить криптографические ключи, защищающие системы от вредоносных программ на уровне UEFI. С 24 июня три сертификата, подписанные Microsoft и используемые в Secure Boot, утратят силу. Secure Boot представляет собой цепочку доверия, проверяющую цифровые подписи всей прошивки, загружаемой при запуске системы.
Эта технология предназначена для предотвращения UEFI-буткитов — вредоносного ПО, которое запускается до операционной системы и может быть труднообнаружимым. Такие буткиты способны пережить переустановку ОС и повторно заражать систему. Первые буткиты появились еще в 1980-х, но реальные атаки на UEFI стали известны в 2018 году с появлением LoJax, затем MosaicRegressor и других.
В 2023 году была обнаружена уязвимость LogoFail, затронувшая почти все системы Windows и Linux. Она позволяла обойти Secure Boot через ошибку обработки изображений в прошивке, отображающей логотипы производителей. В ответ Microsoft заменяет старые сертификаты 2011 года на сертификаты 2023 года. Пользователи Windows 10 и 11 получают обновления автоматически, а пользователям Linux необходимо следить за обновлениями shim.
Системы, которые не будут обновлены, продолжат работать, но потеряют защиту от новых угроз UEFI. Чтобы проверить статус ключей в Windows, откройте Безопасность Windows > Безопасность устройства > Secure Boot. Зеленая галочка означает успешное обновление. Microsoft рекомендует своевременно обновлять прошивку для корректной установки сертификатов.
