Миллионы ПК рискуют остаться без защиты: важный механизм безопасности меняется навсегда

Как сообщает авторитетное издание Ars Technica, если вовремя не обновить эти криптографические ключи, компьютеры станут беззащитными перед самыми опасными вирусами, которые невозможно удалить даже полной переустановкой системы.

Смотрите также : Microsoft наконец-то сделала это: обновление Windows 11 действительно изменит ваш компьютер

Что такое UEFI и Secure Boot и почему это важно?

UEFI — это "мозг" материнской платы. Он просыпается первым при включении компьютера и дает команду на запуск операционной системы.

В свою очередь, Secure Boot (Безопасная загрузка) работает как "охранник на входе". Он проверяет цифровые подписи всего кода, который запускается при запуске системы. Если подписи нет или она подделана — система просто блокирует запуск, защищая ПК от постороннего вмешательства.

Оригинальные сертификаты, обеспечивавшие эту безопасность с 2011 года, имели срок действия 15 лет. Теперь этот срок истек. Чтобы сохранить цепочку доверия, операционная система должна записать в UEFI новые ключи "Windows UEFI CA 2023". После этого Windows и Linux начнут использовать загрузчики, подписанные новыми ключами.

Что произойдет, если проигнорировать обновление?

Компьютер не превратится в "кирпич" и продолжит работать в штатном режиме, однако безопасность устройства начнёт стремительно ухудшаться:

• Прекратятся критические обновления загрузчика: Microsoft больше не сможет подписывать низкоуровневые исправления старым ключом 2011 года.
• Возрастёт уязвимость перед руткитами: система не сможет обновлять базы данных DBX (списки скомпрометированных программ).
• Блокировка новых ОС: вы не сможете установить будущие версии Windows, поскольку новые установщики будут требовать исключительно свежих ключей безопасности.

Как происходит установка и есть ли риски?

Процесс обновления максимально автоматизирован. Новые ключи поставляются через стандартные накопительные пакеты Windows Update (LCU) и управляемое развертывание (CFR).

Обратите внимание! Во время установки компьютер может перезагружаться несколько раз подряд. Это абсолютно нормальное поведение системы, необходимое для поэтапной записи новых сертификатов в UEFI.

Разработчики полностью согласовали этот процесс с шифрованием BitLocker и средой Virtual Secure Mode (VSM), поэтому приостанавливать шифрование вручную не требуется. В то же время на устаревших компьютерах с Legacy BIOS или полностью отключенной функцией Secure Boot это обновление будет автоматически игнорироваться.

Как проверить статус безопасной загрузки в Windows 11?

Для большинства пользователей Windows 10 и Windows 11 этот процесс уже происходит автоматически в рамках ежемесячных обновлений системы. Однако на более старых устройствах может потребоваться ручное вмешательство.

Чтобы убедиться, что ваш компьютер защищен, перейдите по пути: Безопасность Windows -> Безопасность устройства -> раздел "Безопасная загрузка".

Там вы увидите один из трёх статусов:

• Зеленая галочка: все сертификаты успешно обновлены, ваш ПК полностью готов к дедлайну.
• Жёлтый восклицательный знак: новые ключи уже загружены на компьютер, но ещё не записаны в прошивку (необходимо дождаться плановой перезагрузки).
• Красный значок стоп-сигнала: обновление заблокировано из-за несовместимости или аппаратных ограничений материнской платы (система предложит инструкции по исправлению настроек в BIOS).

Эксперты также советуют по возможности отложить установку новых обновлений прошивки материнской платы до того момента, когда система получит новые сертификаты Secure Boot.

Важно! Для корпоративных сетей Microsoft настоятельно рекомендует сначала протестировать обновления на отдельных группах устройств. Это поможет избежать возможных конфликтов с уникальными настройками материнских плат от разных производителей.

Следующее подобное обновление корневых сертификатов безопасности запланировано аж на 2038 год. К тому времени отрасль должна начать масштабный переход на постквантовую криптографию.

Что это вообще за буткиты и чем они опасны?

История буткитов началась ещё в начале 1980-х годов. Тогда вредоносные программы заражали компьютеры Apple II через дискеты с пиратскими играми. На платформе Windows первые подобные разработки появились в начале 2000-х годов в качестве исследовательских проектов специалистов по кибербезопасности.

Одним из самых известных примеров стал BootRoot, который продемонстрировали на конференции Black Hat в 2005 году. В последующие годы исследователи создали ряд других экспериментальных буткитов, среди которых Vbootkit, Stoned Bootkit и Mebroot.

Ситуация существенно изменилась в 2012 году, когда эксперты продемонстрировали первые атаки непосредственно на EFI и UEFI — прошивки нового поколения. Уже через год появились более сложные концепции, в частности проект Dreamboat для Windows.

Первую реальную атаку на UEFI специалисты зафиксировали в 2018 году. Тогда исследователи обнаружили вредоносную программу LoJax, которую связали с поддерживаемой Кремлем хакерской группировкой, известной под названиями Sednit, Fancy Bear или APT28.

В 2020 году компания "Касперский" обнаружила ещё один образец UEFI-вредоноса под названием MosaicRegressor. Он проверял систему после каждой перезагрузки и при необходимости повторно устанавливал вредоносные файлы в Windows. Позже специалисты также обнаружили другие UEFI-буткиты, среди которых ESpecter, FinSpy и MoonBounce.