Secure Boot был представлен в 2012 году с выпуском Windows 8, и сертификаты механизма скоро истекут. Microsoft предупредила организации и пользователей о том, что они должны убедиться в актуальности своих сертификатов.
Secure Boot — это специальный механизм, который гарантирует, что ПК использует проверенную прошивку и доверенный загрузчик при установке Windows 11. Без него невозможно официально установить операционную систему. Сертификаты Secure Boot, выпущенные в 2011 году, истекают в июне 2026-го. Без новых сертификатов диспетчер загрузки Windows и компоненты Secure Boot не смогут получать исправления безопасности, в результате чего затронутые устройства будут подвержены вредоносному программному обеспечению буткита (например, BlackLotus), которое очень трудно обнаружить с помощью стандартного антивирусного ПО.
С проблемой просроченных сертификатов могут столкнуться физические и виртуальные машины с поддерживаемыми версиями Windows 10, Windows 11, Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2. Однако проблема не затронет ПК Copilot+, выпущенные в 2025 году.
Microsoft рекомендует организациям и пользователям обновиться до сертификатов, выпущенных в 2023 году. В ближайшие месяцы компания выпустит новые сертификаты в рамках ежемесячных накопительных обновлений. Microsoft также рекомендует регистрировать устройства Windows 10 в программе расширенных обновлений безопасности, которая бесплатна для обычных потребителей. Наконец, техгигант предоставит необходимые сертификаты для систем Linux, которые поддерживают двойную загрузку Windows.
Обновления будут доступны не каждому ПК, в том числе их не получат устройства, которые физически изолированы от Интернета и локальных сетей. Для таких машин Microsoft предлагает ограниченную поддержку.
Чтобы проверить, включена ли в системе безопасная загрузка, нужно нажать Win + R, введя msinfo32 и отметив «Состояние безопасной загрузки».
Ранее исследователи Binarly рассказали об опасной уязвимости в механизме Secure Boot. Она позволяла злоумышленникам отключать защиту и запускать вредоносный код до загрузки операционной системы. Проблема с идентификатором CVE-2025-3052 была связана с подписанным UEFI-модулем, используемым для обновления BIOS. Она затрагивала модуль, изначально разработанный для защищённых устройств DT Research, но подписанный доверенным сертификатом Microsoft UEFI CA 2011.
Источник: habr.com