Certificatele Secure Boot vor expira pe PC-urile vechi şi acestea vor deveni vulnerabile

Anul acesta expiră certificatele Secure Boot de pe PC-urile mai vechi de 2023 și fără ele vor deveni vulnerabile.

Dacă la fel ca mine v-ați gândit că odată expirate, va fi imposibil să porniți respectivele PC-uri, nu e chiar așa.

Ele devin nefolosibile, dar sistemul de boot va funcționa – efectul este că PC-ul este vulnerabil pentru că anumite bariere de protecție nu vor mai funcționa. Conform Microsoft, aproape 1 miliard de PC-uri ce încă funcționează, sunt expuse.

Practic orice PC produs între 2011 – 2023 este expus, fără certificat valid, soluția de securitate ce permite doar aplicațiilor semnate să funcționeze, va deveni inutilă, pe aceste sisteme fiind posibil să se instaleze și software necertificat. Secure Boot se bazează pe un sistem de certificate care verifică fiecare componentă ce este încărcată în procesul de pornire a PC-ului și apoi în cea de lansare a sistemului de operare.

CEl mai important este Key Exchange Key (KEK), ce stă în UEFI și e folosit de Trusted Platform Module (TPM) pentru permisiunea acordată boot loader-ului.

Informația stă în Allowed Signature Database (DB) și Forbidden Signature Database (DBX). Un PC din ultimii 15 ani e posibil să aibă un astfel de certificat creat în 2011 și pentru că durata de viață este de 15 ani, el va expira în iunie 2026, deci e momentul să îl schimbați.

Odată ce va expira, nu va mai putea fi folosit pentru a verifica autenticitatea aplicațiilor ce sunt rulate în momentul pornirii PC-ului. Trebuie să știți că începând cu 2023, Microsoft a lucrat cu producătorii și aceste modele de PC-urio/laptop-uri au deja certificate noi, pe care nu e nevoie să le actualizați. Bănuiesc că știți faptul că toate versiunile de Windows folosesc SecureBoot, precum și distribuțiile majore de Linux. Ce e de făcut? Bun.

Acum că știm că unele certificate stau să expire, e important să știm ce avem de făcut.

Microsoft anunță că actualizarea certificatelor se va face automat pe sistemele Windows ce au încă suport de update, adică toate versiunile de Windows 11 și cele de Windows 10 care au intrat în programul extins de suport. Acestea vor primi setul de patch-uri de februarie și odată cu ele certificatele necesare, ceea ce înseamnă că majoritatea utilizatorilor nu ar trebui să facă nimic special. Puteți verifica dacă sistemul pe care îl folosiți are nevoie de certificate noi, rulând următoarea comandă întru-un PowerShell lansat cu drepturi de Administrator: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023') Dacă răspunsul primit e True, înseamnă că aveți certificat emis în 2023, deci sunteți ok pentru următorii 15 ani.

Altfel, trebuie să aplicați pachetul de update din această lună. Și cel mai bine ar fi să intrați pe site-ul producătorului sistemului pe care îl folosiți și să vedeți dacă acolo există pachete de update dedicate acestor probleme. Acum e hilar să discutăm că Microsoft blochează folosirea noului Windows 11 pe sisteme mai vachi, dar din cauza faptului că au fost obligați de UE să ofere suport extins, acum sunt nevoiți să lanseze certificate și pentru acele PC-uri ce încă sunt funcționale și au nevoie de update.

Și e posibil să vorbim de aproape 1 miliard de PC-uri … Partea bună: și dacă nu actualizați acum certificatele, mai aveți timp până în iunie și după.

În cel mai rău caz, aveți sistemul expus, dar încă funcțional – aplicați atunci noile certificate. Dar că nu merită să așteptați până atunci.

Recomandare mea este să mai porniți sistemele mai vechi și le mai puneți niște actualizări, că nu strică.

Eu tocmai am pornit un laptop Toshiba și de vreo 3 ore îi fac update de la Windows 10 18H2 la 22H2 🙂 și sper să rezolv și certificatul UEFI.