Microsoft ha annunciato un importante aggiornamento Secure Boot che influenzerà l’autenticazione firmware dei dispositivi Windows.
La cybersecurity è un tema sempre più centrale nello scenario digitale odierno, e una delle sue componenti fondamentali è la sicurezza a livello di avvio di sistema, nota come Secure Boot. Recentemente, Microsoft ha annunciato l’introduzione di nuove chiavi per il Secure Boot, un aggiornamento rilevante che mira a stabilire nuovi ancoraggi di fiducia nell’ambito delle autorità di certificazione del Unified Extensible Firmware Interface (UEFI).
Secure Boot è una funzionalità di sicurezza integrata nel firmware UEFI dei dispositivi, la cui finalità è quella di garantire che durante la sequenza di avvio del sistema vengano eseguiti solamente software affidabili e verificati. Funziona attraverso la verifica delle firme digitali del software avviato, rispetto a delle chiavi digitali fidate memorizzate all’interno del UEFI.
Questa feature è stata introdotta per la prima volta con Windows 8 per proteggere contro le minacce pre-boot, come i bootkit, diventando parte integrante dell’architettura di sicurezza Trusted Boot di Microsoft. Secure Boot autentica i moduli come i driver firmware UEFI, i bootloader e le ROM opzionali, prima che questi vengano eseguiti, per poi passare il controllo al bootloader di Windows che verifica, carica e avvia il sistema operativo.
Secure Boot si basa su una struttura gerarchica dove la chiave della piattaforma (PK), gestita dal produttore di hardware (OEM), firma gli aggiornamenti al database delle Key Exchange Key (KEK). Le KEK a loro volta firmano gli aggiornamenti al database delle firme autorizzate (DB) e al database delle firme proibite (DBX).
La configurazione del DB Secure Boot e il KEK per i dispositivi Windows è rimasta invariata fin dall’uscita di Windows 8. Microsoft richiede ad ogni OEM di includere tre certificati gestiti da Microsoft: il Microsoft Corporation KEK CA 2011 nel database KEK, e due certificati nel DB, Microsoft Windows Production PCA 2011 e Microsoft UEFI CA 2011, utilizzati rispettivamente per firmare il bootloader di Windows e i componenti hardware di terze parti e driver OS.
Con la scadenza dei suddetti certificati prevista per il 2026, Microsoft, in collaborazione con i partner del suo ecosistema, è al lavoro per distribuire in fasi successive nuovi certificati che porranno nuovi ancoraggi di fiducia per le CA UEFI. A tal proposito, verranno eseguiti aggiornamenti del database Secure Boot per aggiungere nuovi certificati DB e KEK. Il primo aggiornamento del DB coinvolgerà l’aggiunta del certificato Microsoft Windows UEFI CA 2023 al DB di sistema.
L’attualizzazione sarà disponibile come un aggiornamento opzionale di assistenza a partire dal 13 febbraio 2024 per dispositivi con Secure Boot attivato. Inoltre, verrà implementato un processo di rollout controllato dell’aggiornamento del DB a tutti i clienti Windows, iniziando dagli aggiornamenti di assistenza e anteprime di aprile 2024.
Microsoft sta procedendo con un approccio misurato e cauto per questo aggiornamento, collaborando attivamente con i partner OEM per identificare e risolvere i bug nell’implementazione del firmware che potrebbero compromettere la procedura di avvio o l’aggiornamento stesso del DB. Per facilitare un rollout di successo, i dispositivi con problemi identificati non riceveranno l’aggiornamento fino alla risoluzione dei bug.
Per i clienti interessati a provare manualmente l’aggiornamento DB per testare la compatibilità del firmware, Microsoft ha fornito una serie di istruzioni che comprendono il controllo di prerequisiti, la verifica della versione aggiornata del firmware UEFI, il backup dei dati e delle chiavi BitLocker, e i passaggi formali per l’applicazione dell’aggiornamento. I test dovrebbero essere eseguiti su hardware non critico che rappresenti i dispositivi nell’ambiente del cliente.
Microsoft enfatizza l’importanza di questo aggiornamento per mantenere la capacità di gestire i componenti di avvio di tutti i dispositivi Windows, e sottolinea che, sebbene i precedenti aggiornamenti del DBX siano stati eseguiti globalmente da quando è stato introdotto Secure Boot, questo è il primo aggiornamento del DB su larga scala.