Il conto alla rovescia è iniziato per milioni di utenti Windows e Linux. A partire dal 24 giugno, tre certificati Microsoft che garantiscono l'integrità del processo di avvio del sistema scadranno. Questi certificati sono il fondamento di Secure Boot, una tecnologia progettata per creare una catena di fiducia che verifica la firma digitale di ogni componente caricato durante l'avvio, dal firmware al sistema operativo. Senza un aggiornamento tempestivo, i computer rimarranno vulnerabili ai bootkit, una forma subdola di malware che si attiva prima del sistema operativo e delle protezioni antivirus.
Perché Secure Boot è così importante
Secure Boot è un meccanismo di sicurezza integrato nel firmware UEFI che controlla le firme digitali di tutto il codice avviato durante il boot. L'obiettivo è garantire che solo software proveniente da fonti attendibili, come il produttore della scheda madre o Microsoft, possa essere eseguito. I bootkit, invece, alterano il processo di avvio per infettare il sistema a un livello così profondo da rendere quasi impossibile la loro rimozione. Una volta installati, possono rubare credenziali, aprire backdoor o persino reinfettare il sistema dopo una reinstallazione del sistema operativo. La scadenza dei certificati, noti come "KEK" (Key Exchange Key) e "db" (database di firme attendibili), interrompe questa catena di fiducia, esponendo i dispositivi a rischi significativi.
Sponsored Protocol
Cosa devono fare gli utenti
Microsoft ha già rilasciato aggiornamenti di sicurezza attraverso Windows Update per i sistemi Windows 10 e Windows 11. Gli utenti devono assicurarsi di aver installato le ultime patch, in particolare l'aggiornamento KBXXXXX (rilasciato a giugno). Per i sistemi Linux, la situazione è più frammentata. Le principali distribuzioni, come Ubuntu, Fedora e Debian, hanno pubblicato aggiornamenti del pacchetto shim e del bootloader GRUB. Gli amministratori dovranno applicare manualmente gli aggiornamenti e, in alcuni casi, aggiornare le chiavi nel firmware UEFI. È consigliabile verificare la presenza di un aggiornamento del firmware della scheda madre presso il produttore del PC.
Sponsored Protocol
Per approfondire le best practice di sicurezza informatica, puoi consultare la nostra guida su Monitoring e Observability, che spiega come monitorare le minacce in produzione. Inoltre, se desideri proteggere i tuoi dispositivi con soluzioni antivirus, approfitta dei codici sconto Norton per un risparmio fino al 58%.
L'urgenza della scadenza
La scadenza del 24 giugno non è un evento improvviso. Microsoft aveva già annunciato la rotazione delle chiavi Secure Boot anni fa, ma molti utenti e amministratori hanno trascurato l'avviso. Con l'aumento degli attacchi firmware, tra cui i bootkit come BlackLotus e BootHole, la mancata applicazione degli aggiornamenti potrebbe portare a compromissioni gravi. Per i data center e gli ambienti aziendali, il rischio è ancora più elevato, poiché un singolo sistema infetto può fungere da punto d'ingresso per l'intera rete. È fondamentale che i team IT pianifichino una finestra di manutenzione per applicare gli aggiornamenti prima della scadenza.
Sponsored Protocol
Un aspetto tecnico importante: Secure Boot non è una protezione assoluta. Come spiegato su Wikipedia, è un tassello di un approccio di sicurezza a più livelli. Tuttavia, senza chiavi valide, il primo livello di difesa viene meno. Gli utenti Linux possono verificare lo stato di Secure Boot con il comando mokutil --sb-state e aggiornare le chiavi con mokutil --import.
In conclusione, la finestra per agire si sta chiudendo. Non aspettare il 24 giugno per aggiornare il tuo sistema. Che tu usi Windows o Linux, dedica qualche minuto a verificare la presenza di aggiornamenti. La sicurezza del tuo computer dipende da questo semplice ma cruciale passo.
