La storia di un aggiornamento Windows 10 che modifica UEFI Secure Boot: KB4524244

Il “patch day” Microsoft di febbraio 2020 è stato problematico per molti utenti. In particolare, i possessori di sistemi HP basati su processore AMD Ryzen hanno segnalato le situazioni più gravi: comparsa di schermate blu, impossibilità di ripristinare il sistema con gli strumenti integrati in Windows e blocco in fase di avvio con la visualizzazione di un problema di sicurezza da parte del modulo Secure Boot.

I problemi sono stati ricondotti all’aggiornamento KB4524244 che i tecnici di Microsoft si sono affrettati a ritirare: Microsoft ritira l’aggiornamento KB4524244 per Windows 10: troppi problemi (qui maggiori informazioni).

Qualcuno ha soprannominato l’aggiornamento KB4524244 una vera e propria “bomba da BIOS” ed effettivamente è proprio ciò che è successo nella realtà. Vale però la pena approfondire perché si tratta di “una storia” che merita di essere conosciuta.

Che cosa andava ad aggiornare il pacchetto KB4524244? La descrizione pubblicata da Microsoft, infatti, non forniva e non offre tutt’oggi molti dettagli tecnici.
A metà febbraio fu immediatamente trovata una correlazione tra l’aggiornamento Microsoft e i prodotti Kaspersky. Perché? E perché Microsoft ha sentito il bisogno di rilasciare una patch per bloccare nello specifico prodotti Kaspersky?

Kaspersky, come altre società sviluppatrici di software antimalware, permette di creare un disco di avvio (Kaspersky Rescue Disk) che consente di avviare il sistema in condizioni di emergenza, anche quando il sistema operativo installato non funzionasse più.

Il problema è che una vecchia versione del Kaspersky Rescue Disk permetteva agli aggressori di avviare il PC da un ambiente potenzialmente pericoloso, utilizzabile anche con la funzionalità Secure Boot abilitata.
Come spiegato nell’articolo Secure Boot e Windows: a cosa serve e come si disattiva, rende impossibile l’utilizzo di alcuni dischi di ripristino, a meno che non utilizzino una chiave conosciuta e pre-approvata.
La versione in questione di Kaspersky Rescue Disk non ha seguito le regole di Secure Boot ed è per questo che è stata oggetto di un intervento da parte di Microsoft.
Come spiega Kaspersky, utilizzando la vecchia versione di Rescue Disk, un utente malintenzionato con accesso fisico alla macchina da aggredire poteva eseguire un’immagine UEFI non attendibile (ad esempio un sistema operativo personalizzato) su un computer protetto dalla tecnologia Secure Boot e ciò proprio sfruttando il supporto di avvio Kaspersky.

Venuta a conoscenza del problema ad aprile 2019, Kaspersky non ha rilasciato un aggiornamento fino al successivo mese di agosto.

Microsoft può annullare le autorizzazioni concesse ai programmi che possono avviarsi al boot del PC al posto di Windows utilizzando il cosiddetto UEFI Revocation List File. Si tratta di una lista di revoca che in questo caso Microsoft ha tentato di aggiornare proprio attraverso il rilascio e l’installazione dell’aggiornamento KB4524244.

Il fatto è che, per ragioni che non sono ancora state chiarite, l’applicazione della restrizione a livello di Secure Boot UEFI ha comportato il mancato caricamento di altri programmi legittimi e in particolare della routine di avvio utilizzata sui PC HP basati su CPU AMD Ryzen.

“Dopo un’approfondita analisi interna, i nostri esperti hanno concluso che i prodotti Kaspersky non sono stati la causa di questo problema“, ha messo nero su bianco la società russa. D’altra parte appare chiaro che se Microsoft avesse effettuato qualche test sui sistemi HP dotati di CPU Ryzen, il problema si sarebbe immediatamente palesato. Invece, si è manifestato prima sui sistemi degli utenti finali.

Per questo un ex dipendente Microsoft aveva aspramente criticato la scelta dell’azienda di ridurre il team che si occupa di effettuare il testing degli aggiornamenti sulle macchine fisiche: Ex dipendente Microsoft spiega il perché dei problemi con gli aggiornamenti di Windows 10.
A quel post Microsoft aveva risposto descrivendo la bontà del suo approccio che sarà oggetto di continue ottimizzazioni nel prossimo futuro: Aggiornamenti di Windows 10: Microsoft usa il machine learning.

Da parte nostra nell’articolo Windows Update: come gestire gli aggiornamenti abbiamo presentato alcuni suggerimenti di carattere generale per approcciarsi all’installazione delle patch mensili Microsoft: prima regola, salvo specifiche eccezioni, evitare di installare subito gli aggiornamenti e attendere almeno qualche giorno.