Microsoft: aggiornate il certificato altrimenti le unità di boot non si avvieranno più

Nel 2023, Microsoft ha rilasciato un’importante serie di aggiornamenti di sicurezza per contrastare BlackLotus, un bootkit UEFI che può aggirare le difese poste da Secure Boot e ottenere il controllo sull’avvio del sistema operativo. Il bootkit, una volta attivo, è in grado di disabilitare funzionalità di sicurezza fondamentali come BitLocker, Hypervisor-Protected Code Integrity (HVCI) e Microsoft Defender, aprendo così la porta a malware di difficile rilevamento e rimozione.

La minaccia di BlackLotus e la vulnerabilità CVE-2023-24932

BlackLotus sfrutta una vulnerabilità nel Secure Boot che permette il caricamento di boot manager non autorizzati. Microsoft ha identificato questa vulnerabilità come CVE-2023-24932, sanabile previa integrazione di certificati di sicurezza aggiornati. In particolare, il certificato “Windows UEFI CA 2023” deve essere inserito nel database delle firme di Secure Boot per impedire il caricamento di boot manager compromessi.

Le modifiche correttive, tuttavia, non sono applicate automaticamente al fine di evitare malfunzionamenti sui dispositivi degli utenti. Microsoft ha scelto un approccio graduale, consentendo agli amministratori di testare gli aggiornamenti prima della loro applicazione, che diverrà obbligatoria nel 2026.

In un altro articolo avevamo spiegato perché potrebbe verificarsi un disastro con il funzionamento di Secure Boot, se gli utenti non gestiranno correttamente il nuovo certificato Microsoft.

Processo di aggiornamento dei dispositivi e delle unità di boot

L’aggiornamento di Secure Boot implica due fasi principali: l’aggiunta del certificato “Windows UEFI CA 2023” al database delle firme di Secure Boot e l’inclusione del precedente certificato “Windows Production CA 2011“, ancora oggi utilizzato, nel database delle firme non autorizzate (DBX).

Poiché l’applicazione di queste modifiche, piuttosto delicate, potrebbe causare problemi in fase di avvio, Microsoft consiglia di aggiornare i supporti di avvio (ISO, USB, supporti locali o di rete) per utilizzare il certificato aggiornato. In caso contrario, i dispositivi non riusciranno a partire, né sarà possibile eseguire un’installazione o una riparazione del sistema operativo.

Uno script PowerShell per l’aggiornamento delle immagini di avvio

A inizio febbraio 2025, Microsoft ha rilasciato uno script PowerShell che consente di aggiornare i supporti di avvio per renderli compatibili con il certificato “Windows UEFI CA 2023“. Lo strumento è disponibile per il download e può essere utilizzato su ISO, immagini di supporti avviabili, unità USB, percorsi locali e di rete.

L’esecuzione dello script richiede l’installazione del pacchetto Windows ADK (Assessment and Deployment Kit), necessario per il corretto funzionamento dello script. Una volta eseguito, lo script PowerShell aggiorna i file di avvio per includere il certificato UEFI e i boot manager firmati con tale certificato.

Rischi e raccomandazioni

Poiché l’aggiornamento non è immediato e l’applicazione delle mitigazioni potrebbe causare l’impossibilità di avviare il dispositivo da supporti di installazione o ripristino obsoleti, Microsoft raccomanda agli amministratori di testare l’intero processo prima della scadenza della finestra di aggiornamento, prevista per la fine del 2026.

L’azienda di Redmond sostiene che pubblicherà un preavviso di 6 mesi prima di applicare forzatamente l’aggiornamento, per consentire agli amministratori di preparare correttamente i loro sistemi e scongiurare qualunque problema in fase di boot.