A Microsoft começou a distribuir certificados atualizados do Secure Boot por meio das atualizações mensais do Windows, substituindo os certificados originais de 2011, que expirarão no final de junho de 2026.
Lançado em 2011, o Secure Boot garante que apenas bootloaders confiáveis sejam iniciados em máquinas com firmware UEFI.
Esse sistema ajuda a bloquear malwares, como rootkits, impedindo sua execução durante o boot ao validar a assinatura digital do software com base em um conjunto de certificados digitais armazenados no firmware.
Em janeiro, a Microsoft anunciou planos para renovar os certificados do Secure Boot prestes a expirar em sistemas elegíveis com Windows 11, nas versões 24H2 e 25H2.
A iniciativa surgiu após um alerta, em novembro, que orientava administradores de TI a atualizarem os certificados usados para validar o firmware UEFI antes do vencimento.
“Após mais de 15 anos em serviço contínuo, os certificados originais do Secure Boot estão chegando ao fim do ciclo planejado, com expiração prevista para o final de junho de 2026”, afirmou Nuno Costa, diretor de Parcerias de Windows Servicing and Delivery, na última terça-feira.
“Já iniciamos a distribuição dos novos certificados como parte das atualizações mensais regulares do Windows para dispositivos suportados, incluindo usuários domésticos, empresas e escolas que utilizam atualizações gerenciadas pela Microsoft.
Organizações também podem optar pelo gerenciamento manual do processo, utilizando suas ferramentas preferidas.”
Costa ressaltou que a atualização dos certificados representa “um dos maiores esforços coordenados de manutenção de segurança em todo o ecossistema Windows”.
Isso se deve ao fato de envolver atualizações de firmware em milhões de dispositivos, produzidos por diversos fabricantes e OEMs.
Os novos certificados serão instalados automaticamente via atualizações mensais para usuários que permitem à Microsoft gerenciar o processo.
Além disso, muitas máquinas fabricadas desde 2024 — e a grande maioria lançada em 2023 — já contam com esses certificados atualizados.
No entanto, alguns dispositivos poderão precisar de uma atualização de firmware fornecida pelo fabricante antes da instalação dos novos certificados.
A Microsoft recomenda que os clientes verifiquem as páginas de suporte dos OEMs para garantir que dispõem da versão mais recente do firmware.
Embora a atualização automática esteja garantida para dispositivos confiáveis via Windows Update, administradores de TI também podem distribuir os certificados por meio de chaves de registro, políticas de grupo (Group Policy) e pelo Windows Configuration System (WinCS).
Dessa forma, asseguram que os endpoints mantenham as proteções do Windows Boot Manager e do Secure Boot.
Dispositivos que não receberem os novos certificados até junho de 2026 continuarão funcionando normalmente, mas entrarão em um “estado de segurança degradada”, segundo a Microsoft.
Isso significa proteção limitada no nível do boot e ausência de defesa contra ataques que exploram vulnerabilidades recém-descobertas, pois não poderão instalar as novas mitigations.
A empresa reforça a importância da migração para o Windows 11, que já equipa oficialmente mais de um bilhão de dispositivos.
Versões não suportadas, como o Windows 10, não receberão os novos certificados.
“É importante destacar que dispositivos com versões não suportadas (Windows 10 ou anteriores, exceto aqueles inscritos no Extended Security Updates) não recebem atualizações do Windows e, consequentemente, não receberão os novos certificados”, explicou Costa.
“Continuamos incentivando os clientes a utilizarem versões suportadas do Windows para garantir melhor desempenho e proteção.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...