Foto di Sebastian Herrmann.

Con il Patch Tuesday di febbraio Microsoft ha rilasciato gli aggiornamenti per i certificati del Secure Boot, la tecnologia che Microsoft ha introdotto 15 anni fa per cercare di migliorare la sicurezza dei PC, consentendo l'esecuzione soltanto di software autorizzato. L'aggiornamento riguarda la sostituzione dei certificati utilizzati dal firmware UEFI per verificare la firma dei componenti caricati all'avvio. Il processo prevede l'introduzione di nuovi certificati e la revoca progressiva di quelli precedenti, con un periodo di transizione necessario per garantire compatibilità con dispositivi e software ancora basati su chiavi meno recenti.

Introdotto con Windows 8 e oggi parte integrante dell'architettura di sicurezza di Windows 11, il Secure Boot si basa su una catena di verifiche crittografiche che impedisce l'esecuzione di codice non autorizzato durante la fase di avvio. L'aggiornamento dei certificati è un'operazione ad alto impatto, poiché coinvolge firmware, bootloader, driver e componenti di sistema che devono essere riconosciuti come validi dal nuovo set di chiavi. Microsoft ha spiegato che la necessità di aggiornare i certificati deriva dall'evoluzione delle minacce e dalla crescente sofisticazione degli attacchi mirati al processo di boot. Negli ultimi anni sono stati individuati diversi vettori di attacco basati su bootloader vulnerabili o firmati con certificati non più considerati sicuri. La revoca di tali certificati richiede un aggiornamento coordinato tra produttori di hardware, sviluppatori di firmware e sistema operativo.

Il processo completo si articola in più fasi. La prima introduce i nuovi certificati senza rimuovere quelli precedenti, consentendo ai produttori di aggiornare firmware e driver. La seconda fase prevede la revoca dei certificati obsoleti, operazione che in teoria non dovrebbe avere conseguenze sull'avvio dei PC, ma in casi come questo i guai sono sempre in agguato; Microsoft ha sottolineato che la revoca definitiva avverrà solo dopo un periodo di compatibilità esteso, per evitare interruzioni operative su larga scala.

L'aggiornamento è distribuito tramite Windows Update e richiede che il sistema sia configurato con Secure Boot attivo. I dispositivi che utilizzano firmware UEFI non aggiornato potrebbero ricevere notifiche specifiche, invitando l'utente a installare patch fornite dal produttore del PC. La collaborazione tra Microsoft e i principali OEM è infatti come un elemento essenziale per garantire la continuità operativa durante la transizione. Il nuovo set di certificati è progettato per supportare algoritmi crittografici più robusti e per garantire una maggiore resistenza contro attacchi basati su firme contraffatte. L'aggiornamento include anche modifiche alla gestione delle revoche, con un sistema più granulare che consente di disabilitare selettivamente componenti vulnerabili senza compromettere l'intero ecosistema di avvio.

Articoli suggeriti:

Windows 10 e 11, bug negli aggiornamenti di ottobre scatena BitLocker e blocca i...

Windows 10, l'aggiornamento di maggio manda BitLocker in tilt

L'aggiornamento di Windows che impedisce di avviare Linux

Microsoft avvisa: attenzione all'aggiornamento KB501270

Consigliamo la lettura di:

Lenovo, milioni di portatili vulnerabili per colpa di una distrazione

Sui nuovi Mac non si può installare Linux, neanche disabilitando Secure Boo...

Microsoft si fa sfuggire le chiavi del Secure Boot

Windows 8, Microsoft vuole il diritto di bloccare i PC