Certyfikaty UEFI Secure Boot na komputerach z Windows wygasają w czerwcu. Miliony PC wymagają aktualizacji

Microsoft przypomina o zbliżającym się terminie wygaśnięcia certyfikatów bezpieczeństwa Secure Boot, które funkcjonują od 2011 roku. Dla przeciętnego użytkownika może to brzmieć jak abstrakcyjny temat z zakresu infrastruktury systemowej, jednak konsekwencje braku aktualizacji mogą dotknąć bezpieczeństwa milionów komputerów na całym świecie. Co właściwie się stanie, gdy certyfikaty wygasną, i jakie kroki należy podjąć, aby uniknąć problemów?

Microsoft wymienia 15-letnie certyfikaty Secure Boot, wygasające w czerwcu, aby zabezpieczyć urządzenia przed zagrożeniami na poziomie bootloadera. Bez aktualizacji komputery wejdą w stan obniżonego bezpieczeństwa.

Aktualizacja pakietu opróżniła portfele kryptowalut. Giełda dYdX ostrzega użytkowników. Sprawdź, czy dotyczy to także Ciebie

Secure Boot to mechanizm wprowadzony przez Microsoft wraz z Windows 8, który weryfikuje bootloadery podczas startu komputera, uniemożliwiając ładowanie niezweryfikowanego oprogramowania. Pierwotne certyfikaty UEFI wykorzystywane przez tę technologię pochodzą właśnie z czasów rozwoju Windows 8 w 2011 roku i od tamtej pory pełnią ważną rolę w zabezpieczaniu procesu rozruchu. W czerwcu 2026 roku, po piętnastu latach służby, osiągną jednak koniec swojego cyklu życia i przestaną być ważne. Microsoft zapewnia, że komputery bez nowych certyfikatów nadal będą działać normalnie, czyli system się uruchomi, a standardowe aktualizacje Windows będą instalowane. Problem leży gdzie indziej. Urządzenia wejdą w tzw. stan obniżonego bezpieczeństwa, tracąc zdolność do otrzymywania przyszłych zabezpieczeń na poziomie rozruchu. W praktyce oznacza to, że gdy pojawią się nowe luki w Secure Boot, a historia pokazuje, że to tylko kwestia czasu, producent nie będzie mógł ich załatać. Wystarczy przypomnieć sprawę bootkita BlackLotus z 2023 roku, który potrafił obejść Secure Boot, wykorzystując lukę CVE-2022-21894. Bez możliwości łatania takich zagrożeń, zainfekowane maszyny mogą stać się łatwym celem dla cyberprzestępców.

Rosyjscy hakerzy potrzebowali tylko 48 godzin. Microsoft nie zdążył załatać Office, a Polska znalazła się w zasięgu

Dla większości użytkowników przejście na nowe certyfikaty powinno odbyć się automatycznie poprzez Windows Update. Microsoft dystrybuuje aktualizację, która zapisuje nowe certyfikaty w niewielkiej pamięci NVRAM płyty głównej, czyli w obszarze wykorzystywanym do przechowywania zmiennych UEFI pomiędzy uruchomieniami systemu. Sprawdzenie, czy komputer już używa nowych certyfikatów, wymaga uruchomienia prostego polecenia PowerShell: `([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')`. Jeśli zwróci wartość "true", maszyna jest zabezpieczona. W przeciwnym razie należy upewnić się, że urządzenie korzysta z aktualnej wersji systemu. Dla Windows 11 to wersja 24H2 lub 25H2, natomiast Windows 10 wymaga rejestracji w programie ESU (Extended Security Updates). Użytkownicy starszych komputerów, szczególnie tych sprzed 2019 roku, powinni również sprawdzić dostępność aktualizacji BIOS u producenta. Dell, HP, Lenovo i Asus udostępniły już listy modeli i instrukcje instalacji nowych certyfikatów, choć część sprzętu może wymagać ręcznej ingerencji. W skrajnych przypadkach konieczny będzie reset kluczy Secure Boot do ustawień fabrycznych, co wymaga klucza odzyskiwania BitLockera.

Grupa APT przejęła infrastrukturę hostingową Notepad++ i dystrybuowała złośliwe aktualizacje od czerwca 2025 roku

Z perspektywy rynkowej wymiana certyfikatów to generacyjne odświeżenie fundamentu zaufania, jak ujął to Nuno Costa, menedżer programu w dziale Windows Servicing and Delivery. Dla przeciętnego użytkownika oznacza to jednak przede wszystkim jedno. Jeśli system nie zostanie zaktualizowany przed czerwcem, może stracić dostęp do przyszłych zabezpieczeń, co z czasem przełoży się na realną podatność na ataki. Co więcej, nowsze wersje systemów operacyjnych i firmware'u wymagające certyfikatów z 2023 roku mogą w ogóle nie uruchomić się na maszynach bez aktualizacji. Microsoft zapewnia wsparcie dla użytkowników indywidualnych przez swoją infolinię, natomiast firmy otrzymały dedykowane playbooki dla działów IT. Warto pamiętać, że większość komputerów wyprodukowanych od 2024 roku ma już nowe certyfikaty wbudowane bezpośrednio w BIOS, co całkowicie eliminuje problem. Starsze urządzenia wymagają natomiast świadomego działania. Ignorowanie tematu może w przyszłości kosztować więcej niż kilka minut poświęconych na weryfikację statusu zabezpieczeń.