Ключи Secure Boot истекают 24 июня: что нужно сделать пользователям Windows и Linux

24 июня 2026 года истекают три криптографических сертификата, на которых держится механизм Secure Boot — защита загрузочной последовательности компьютера от вредоносного ПО. Сертификаты, выпущенные Microsoft ещё в 2011 году, заменяются новыми, датированными 2023-м. Машины, которые не получат обновление вовремя, продолжат работать, но лишатся защиты от актуальных угроз на уровне прошивки.

Причиной замены стала уязвимость LogoFail, обнаруженная исследователями в 2023 году. Баг в коде, отображающем логотипы производителей при загрузке, позволял обойти Secure Boot и внедрить вредоносный код прямо в UEFI — на уровне, который операционная система не контролирует. Уязвимость затронула практически все Windows- и Linux-системы в мире.

Почему UEFI-буткиты опаснее обычного вредоносного ПО

Secure Boot появился как ответ на угрозу UEFI-буткитов — особого класса вредоносных программ, которые загружаются раньше операционной системы и любых антивирусных инструментов. UEFI (Unified Extensible Firmware Interface) — это современный преемник BIOS, первый код, который запускается при включении компьютера.

Буткит, встроенный в UEFI, практически невидим для стандартных средств защиты. Он может красть учётные данные, создавать бэкдоры и переустанавливать себя после полной переустановки операционной системы — потому что живёт глубже, чем ОС.

История реальных атак на UEFI началась в 2018 году с обнаружения LoJax — малвари, созданной группировкой Fancy Bear (APT 28), связанной с российскими спецслужбами. Программа была основана на легитимном антиворовском ПО LoJack и умела перезаписывать флеш-память прошивки удалённо. В 2020 году исследователи Kaspersky нашли второй задокументированный случай реальной атаки на UEFI — малварь MosaicRegressor. С тех пор появились ещё несколько буткитов: ESpecter, FinSpy, MoonBounce.

Secure Boot отвечает на эту угрозу цепочкой доверия: каждый компонент, загружаемый при старте системы, должен иметь цифровую подпись, признанную производителем материнской платы. Если хотя бы одно звено цепи не проходит проверку — система не запустится.

Как проверить статус обновления и что делать

Для пользователей Windows 10 и Windows 11 процедура проверки занимает меньше минуты: нужно открыть Безопасность Windows → Безопасность устройства → Безопасная загрузка. Зелёная галочка означает, что сертификаты уже обновлены. Большинство машин получают обновление автоматически через ежемесячные патчи Windows Update, однако на старых устройствах может потребоваться ручное вмешательство.

Пользователям Linux нужно следить за выходом обновлённых shim — небольшого загрузчика первого уровня, который выступает доверенным мостом между ключами Secure Boot и основным загрузчиком Linux. Дистрибутивы уже готовят соответствующие обновления. Microsoft дополнительно рекомендует устанавливать все доступные обновления прошивки (firmware), поскольку они иногда необходимы для корректного обновления сертификатов Secure Boot.

Важно понимать: машины, не получившие обновление, не перестанут работать. Но они останутся уязвимы к атакам через LogoFail и к будущим угрозам, которые будут эксплуатировать уже отозванные сертификаты. Фактически это означает, что Secure Boot на таких устройствах превращается в декорацию.

Контекст для белорусского IT-рынка

Для белорусских компаний и специалистов, работающих в периметре ПВТ и за его пределами, угроза UEFI-буткитов особенно актуальна в корпоративном контексте. Такие атаки традиционно используются в целевых операциях против организаций — именно поэтому за разработкой LoJax стоит APT 28, а не обычные киберкриминальные группировки.

Системным администраторам белорусских IT-компаний стоит проверить политики управления обновлениями: автоматические патчи Windows Update должны быть включены, а парк Linux-машин — получить обновлённые shim от соответствующих дистрибутивов. Для организаций, использующих корпоративные образы систем или кастомные конфигурации загрузки, обновление может потребовать ручного тестирования, чтобы не нарушить цепочку доверия Secure Boot.

Дедлайн — 24 июня. До него остаётся меньше двух недель.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.