A Microsoft iniciou a substituição automática dos certificados Secure Boot prestes a expirar em sistemas elegíveis com Windows 11, nas versões 24H2 e 25H2.
O Secure Boot é um recurso de segurança que impede a execução de malwares, como rootkits, durante o processo de inicialização do sistema.
Ele garante que apenas bootloaders confiáveis sejam carregados em computadores com firmware UEFI, verificando as assinaturas digitais dos softwares contra um conjunto de certificados armazenados no firmware do dispositivo.
O anúncio recente ocorre após um alerta feito em novembro pela Microsoft, direcionado a administradores de TI, para que atualizassem os certificados de segurança usados na validação do firmware UEFI antes do vencimento.
Segundo a empresa, “os certificados Secure Boot usados pela maioria dos dispositivos Windows expirarão a partir de junho de 2026, o que pode afetar a capacidade de certos dispositivos pessoais e empresariais de inicializarem com segurança, caso não sejam atualizados a tempo”.
Com a nova atualização, os patches de qualidade do Windows passarão a incluir dados para identificar dispositivos com alta probabilidade de receber automaticamente os novos certificados Secure Boot.
A distribuição ocorrerá somente após sinais claros de que o dispositivo está apto para a atualização, garantindo um rollout seguro e gradual.
Para manter a funcionalidade do Secure Boot e a segurança dos endpoints, os administradores devem instalar os novos certificados antes que os antigos expirem, previsto para o próximo verão no Brasil.
A falha em atualizar pode resultar na perda do Windows Boot Manager e das proteções do Secure Boot, já que dispositivos com essa funcionalidade habilitada deixarão de receber atualizações de segurança para componentes pré-inicialização.
“A ausência de atualizações coloca dispositivos com Secure Boot em risco, pois eles deixarão de receber patches de segurança e confiarão em novos bootloaders não verificados, comprometendo a segurança e a integridade do sistema”, alerta a Microsoft.
Embora a atualização automática ocorra pelo Windows Update em dispositivos considerados de alta confiança, organizações têm a opção de distribuir os certificados Secure Boot por meio de chaves de registro, Windows Configuration System (WinCS) e políticas de grupo (Group Policy).
No guia oficial da Microsoft para Secure Boot, recomenda-se que os administradores iniciem pelo inventário dos dispositivos, verifiquem o status do Secure Boot com comandos PowerShell ou chaves de registro, atualizem o firmware conforme orientado pelos fabricantes e, somente então, apliquem as atualizações dos certificados disponibilizadas pela Microsoft.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...