Una vulnerabilità rimasta inosservata per oltre dieci anni ha incrinato uno dei pilastri della sicurezza dei PC moderni.
Microsoft ha confermato un problema capace di aggirare Secure Boot, il meccanismo che impedisce l’avvio di codice non autorizzato nelle primissime fasi di accensione. Il difetto nasce da una scelta progettuale pensata per mantenere la compatibilità con strumenti di manutenzione e aggiornamento diffusi nel tempo.
Proprio questa esigenza, però, ha ampliato la superficie di attacco in un punto estremamente sensibile, vicino al firmware. Il caso mette in luce una tensione strutturale tra retrocompatibilità e protezione: mantenere sistemi vecchi funzionanti può introdurre rischi inattesi, soprattutto quando la fiducia si basa su componenti firmati e accettati automaticamente.
Secure Boot e catena di fiducia
Secure Boot, definito dallo standard UEFI, verifica che firmware, bootloader e componenti iniziali del sistema operativo siano firmati con chiavi considerate affidabili.
Se una firma non è valida, l’esecuzione viene bloccata prima ancora che Windows si avvii. Questo riduce in modo significativo il rischio di bootkit e rootkit UEFI, malware che operano a un livello privilegiato e spesso invisibile agli antivirus tradizionali.
La vulnerabilità individuata dai ricercatori di Binarly non riguarda l’algoritmo crittografico, ma il modello di fiducia: un’applicazione UEFI firmata da Microsoft, distribuita per anni per scenari di aggiornamento e ripristino, poteva essere riutilizzata per eseguire codice arbitrario durante il boot. Poiché il componente risultava firmato con una chiave valida, il firmware ne autorizzava l’esecuzione anche fuori contesto, aprendo la strada a un bypass delle verifiche.
Impatti e aggiornamenti Microsoft
Il problema è rimasto nella catena di fiducia per gran parte della vita di Secure Boot, interessando numerosi sistemi Windows e, potenzialmente, altre piattaforme che si affidano alle stesse chiavi Microsoft.
Lo sfruttamento richiede privilegi amministrativi o la possibilità di modificare la sequenza di avvio, quindi non è un attacco remoto diretto; tuttavia, una volta ottenuto l’accesso, un aggressore può installare un bootkit persistente, capace di sopravvivere alla reinstallazione del sistema e di disattivare alcune difese prima del caricamento del kernel.
Microsoft è intervenuta aggiornando la DBX, il database UEFI delle revoche, introducendo regole che bloccano le versioni vulnerabili anche se ancora firmate. La distribuzione avviene in modo graduale per evitare incompatibilità con supporti di installazione e strumenti legacy. Per gli ambienti aziendali diventa essenziale testare immagini e procedure di ripristino e integrare gli aggiornamenti della DBX nella manutenzione ordinaria, riducendo progressivamente i componenti legacy ancora autorizzati.