A Microsoft lembrou recentemente aos usuários que o certificado de criptografia usado para inicialização segura no ecossistema Windows está prestes a passar por uma atualização. O certificado inicial de inicialização segura, usado há mais de 15 anos desde o lançamento do Windows 8, expirará em junho de 2026 e deverá ser substituído por um novo certificado para manter a segurança durante a fase de inicialização do sistema.
Secure Boot é um recurso de segurança em nível de firmware introduzido como parte da especificação UEFI. Seu objetivo principal é evitar que códigos de inicialização potencialmente maliciosos sejam carregados antes da inicialização do sistema operacional. Portanto, sua raiz de confiança (certificados e chaves) precisa ser atualizada regularmente para evitar que credenciais antigas se tornem um ponto fraco em ataques devido ao envelhecimento criptográfico. Nuno Costa, gestor de programas do Departamento de Serviços e Entrega do Windows da Microsoft, afirmou no blog oficial que retirar certificados antigos e introduzir novos certificados é uma prática padrão na indústria e ajuda a plataforma a cumprir sempre as expectativas de segurança modernas.
Na verdade, a Microsoft lançou uma nova versão do certificado de inicialização segura em 2023, mas o certificado original tem sido responsável por validar o processo de inicialização desde o Windows 8. Usuários e empresas podem obter novos certificados por meio de uma variedade de canais confiáveis, incluindo atualizações de firmware UEFI lançadas por fabricantes de placas-mãe. Ao mesmo tempo, a Microsoft também integrará os novos certificados em patches mensais e atualizações de segurança, que serão distribuídas automaticamente através do Windows Update. Os ambientes corporativos podem usar várias ferramentas de gerenciamento para personalizar o processo push. A Microsoft descreve esta atualização de certificado como uma das maiores operações coordenadas de manutenção de segurança no ecossistema Windows.
Como o Secure Boot é executado na camada de firmware e afeta diretamente a forma como o PC é inicializado, esta atualização exige que a Microsoft trabalhe em estreita colaboração com fabricantes de hardware, OEMs e outros parceiros para atualizar o firmware de milhões de dispositivos Windows para evitar reações em cadeia, como falhas generalizadas de inicialização. Dispositivos ainda no ciclo de suporte da Microsoft (incluindo máquinas Windows 11 e Windows 10 participantes do Programa de Atualização de Segurança Estendida) podem receber o novo certificado por meio do Windows Update, enquanto PCs mais antigos não poderão instalar esta atualização e serão relativamente menos seguros.
Costa destacou que os dispositivos que ainda dependem do antigo certificado de 2011 ainda inicializarão normalmente no curto prazo, mas serão considerados em estado de segurança “rebaixado”, e tais dispositivos podem não receber novos recursos de proteção em nível de firmware no futuro. À medida que novas vulnerabilidades na camada de inicialização forem descobertas, se as medidas de mitigação correspondentes não puderem ser instaladas, a exposição dos sistemas relacionados continuará a se expandir e poderá até causar problemas de compatibilidade no longo prazo. Por exemplo, sistemas operacionais atualizados, firmware, hardware ou software que dependem de inicialização segura não poderão ser carregados. Fabricantes de PC como a Dell forneceram instruções para verificar se o sistema suporta o novo certificado de inicialização segura para facilitar aos usuários a confirmação do status de seus dispositivos.
Para computadores que não habilitam a inicialização segura, as operações diárias geralmente não serão afetadas diretamente. No entanto, o Secure Boot encontrou muitos incidentes de segurança graves desde o seu nascimento, incluindo “PKfail”, que expôs desafios de implementação e gerenciamento. No entanto, este mecanismo está a tornar-se cada vez mais um requisito obrigatório para alguns jogos online e MOBAs, o que significa que os utilizadores que executam Linux ou hardware de jogo mais antigo, mas ainda suficientemente poderoso, podem enfrentar exclusão ou barreiras de entrada mais elevadas ao participar nestes jogos de nova geração.