Microsoft sta migliorando la protezione del Secure Boot all’interno del firmware UEFI dei PC.
Microsoft rende più sicuro il Secure Boot
Le funzionalità di sicurezza rendono Windows un sistema operativo più sicuro, tuttavia come si è visto negli ultimi anni sono spesso preda di malintenzionati che sfruttano vulnerabilità per violare il sistema. Microsoft ha annunciato l’arrivo di alcune soluzioni per migliorare l’integrità dei sistemi di protezione come il Secure Boot, la funzionalità integrata nel firmware UEFI di verifica delle firme digitali per garantire l’attendibilità di un software. La configurazione dei certificati che compongono il Secure Boot è rimasta la stessa da Windows 8 e avrà scadenza nel 2026. Per tanto Microsoft ha annunciato che inizierà a rilasciare certificati aggiornati per il Secure Boot a partire dall’aggiornamento cumulativo di febbraio per protrarsi fino alla fine del 2024.
In collaborazione con i nostri partner dell’ecosistema, Microsoft si sta preparando a lanciare certificati sostitutivi che stabiliranno nuovi trust Anchor CA UEFI per il futuro. Microsoft distribuirà gli aggiornamenti del database Secure Boot in più fasi per aggiungere attendibilità ai nuovi certificati DB e KEK. Il primo aggiornamento del DB aggiungerà Microsoft Windows UEFI CA 2023 al DB di sistema. La nuova Microsoft Windows UEFI CA 2023 verrà utilizzata per firmare i componenti di avvio di Windows prima della scadenza della Windows Production CA 2011. Questo aggiornamento del DB sarà facoltativo per la manutenzione e gli aggiornamenti di anteprima di febbraio 2024 e potrà essere applicato manualmente ai dispositivi. Microsoft distribuirà lentamente questo aggiornamento del DB man mano che convalideremo la compatibilità dei dispositivi e del firmware a livello globale. Il processo di implementazione controllata dell’intero aggiornamento DB per tutti i clienti Windows inizierà durante la manutenzione e gli aggiornamenti di anteprima di aprile 2024, prima della scadenza del certificato nel 2026. Nel frattempo, gli sforzi per aggiornare Microsoft UEFI CA 2011 (noto anche come UEFI CA di terze parti) e Microsoft Corporation KEK CA 2011 inizierà alla fine del 2024 e seguirà un processo di implementazione controllato simile a quello di questo aggiornamento DB.
Nel frattempo Microsoft nelle ultime ore ha aggiornato anche i database del Secure Boot per mantenere aggiornato l’elenco di elementi bloccati che sono stati identificati come vulnerabili.
Per contribuire a mantenere sicuri i dispositivi Windows, Microsoft aggiunge moduli bootloader vulnerabili all’elenco di revoche Secure Boot DBX (mantenuto nel firmware basato su UEFI del sistema) per invalidare i moduli vulnerabili. Quando l’elenco di revoche DBX aggiornato è installato su un dispositivo, Windows verifica se il sistema è in uno stato in cui l’aggiornamento DBX può essere applicato correttamente al firmware e segnalerà gli errori del registro eventi se viene rilevato un problema.
Che ne pensate dei miglioramenti della sicurezza di Windows? Ditecelo con un commento qui sotto.
Articolo di Windows Blog Italia
Fonti | 1, 2, 3