Per gli utenti di Windows e Linux si avvicina una scadenza tecnica che riguarda uno dei meccanismi più delicati della sicurezza dei PC: dal 24 giugno tre certificati usati per verificare crittograficamente ciò che viene caricato all’avvio del sistema scadranno. Sono certificati firmati da Microsoft e rappresentano un elemento centrale di Secure Boot, la catena di fiducia progettata per impedire che codice non autorizzato venga eseguito prima del sistema operativo.
Il punto non è solo amministrativo. Secure Boot controlla le firme digitali del firmware e del software caricati durante la sequenza di avvio, verificando che provengano da fornitori considerati affidabili, come il produttore della scheda madre. Se un anello della catena non viene riconosciuto, il dispositivo può essere bloccato prima dell’avvio. Per aziende e utenti evoluti, la scadenza dei certificati impone quindi attenzione: i sistemi continueranno a funzionare, ma senza l’aggiornamento perderanno protezione contro nuove minacce UEFI.
La posta in gioco sono i bootkit, malware particolarmente insidiosi perché si inseriscono nei componenti che avviano firmware e software prima che entrino in funzione sistema operativo e strumenti antimalware. Una volta installati, possono caricare altro codice malevolo nell’OS, rubare credenziali, aprire backdoor o compiere altre azioni ostili. La loro persistenza è il problema principale: possono reinfettare un sistema anche dopo la pulizia del sistema operativo e sopravvivere perfino a una reinstallazione.
La storia di questa classe di minacce è lunga. I primi esempi risalgono agli anni Ottanta, con malware rivolti alle macchine Apple II e diffusi tramite floppy disk che sembravano contenere giochi piratati. Nel mondo Windows, i bootkit hanno attirato attenzione nei primi anni Duemila come proof of concept di ricerca offensiva: tra gli esempi citati ci sono BootRoot, mostrato alla conferenza Black Hat del 2005, e successivamente Vbootkit, Stoned Bootkit e Mebroot. Con il passaggio da BIOS e master boot record ai firmware moderni, il bersaglio si è spostato verso EFI e poi UEFI.
Il salto più rilevante è arrivato quando gli attacchi al firmware sono usciti dai laboratori. Nel 2018 è stato individuato LoJax, considerato il primo caso noto di attacco reale contro UEFI, collegato al gruppo sostenuto dal Cremlino noto anche come Sednit, Fancy Bear o APT 28. Nel 2020 i ricercatori di Kaspersky hanno scoperto un secondo caso, chiamato MosaicRegressor, capace di verificare a ogni riavvio la presenza di un file malevolo nella cartella di startup di Windows e reinstallarlo se assente. In seguito sono emersi altri nomi, tra cui ESpecter, FinSpy e MoonBounce.
Secure Boot nasce proprio come risposta industriale a questo scenario: una catena di firme crittografiche che dovrebbe impedire agli aggressori di sostituire il firmware previsto con firmware malevolo. Ma nel 2023 la scoperta di LogoFail ha rimesso il tema al centro. La vulnerabilità riguardava il parsing delle immagini usate per mostrare i loghi dei produttori durante l’avvio e consentiva di aggirare Secure Boot, aprendo la strada all’infezione del firmware UEFI su una platea molto ampia di sistemi Windows e Linux.
Da qui deriva la rotazione delle chiavi. Tre firme più vecchie, datate 2011, vengono rimosse e sostituite con nuove firme datate 2023. Microsoft sta aggiornando le macchine Windows 10 e Windows 11, mentre le distribuzioni Linux stanno lavorando ai nuovi shim, piccoli bootloader UEFI di primo stadio che fanno da ponte affidabile tra le chiavi Secure Boot e il bootloader Linux. La migrazione è quindi trasversale: riguarda il mondo PC nel suo insieme, non una singola piattaforma.
Per gli utenti Windows il controllo passa da Impostazioni di Sicurezza di Windows, Sicurezza dispositivi e Secure Boot: un segno di spunta verde indica che l’aggiornamento è stato completato. La maggior parte delle macchine Windows riceve le nuove chiavi tramite le normali distribuzioni mensili di patch, ma i sistemi più vecchi possono richiedere interventi manuali. Gli utenti Linux devono invece seguire il rilascio dei nuovi shim. Quando possibile, è consigliato rinviare gli aggiornamenti firmware della scheda madre fino alla sostituzione dei certificati: una cautela operativa che, in contesti aziendali, diventa parte della gestione ordinata del rischio.