Secure Boot è una delle funzionalità che sono state introdotte nei BIOS UEFI: si tratta di uno strumento che permette di evitare il caricamento di programmi non autorizzati all’avvio del computer.
La presenza di una firma digitale valida all’interno del software che si sta avviando o installando al boot viene automaticamente verificata. Gli elementi sprovvisti di firma o dotati di una firma sconosciuta oppure non valida vengono invece bloccati: ne parliamo nell’articolo Come verificare se Secure Boot è abilitato.
Di recente è emerso che utilizzando software caricati al boot del sistema e congegnati in maniera tale da fare leva sulla vulnerabilità in Secure Boot era ed è ancor oggi possibile eseguire software arbitrario sprovvisto di una firma digitale valida.
Con un aggiornamento al database DBX (Secure Boot Forbidden Signature Database) applicabile installando la patch KB4535680 appena rilasciata da Microsoft è possibile impedire il caricamento di elementi potenzialmente dannosi all’avvio della macchina.
Il problema risolvibile mediante l’installazione dell’aggiornamento riguarda Windows 10 releases (dalla release 1607 alla 1909), Windows 8.1, Windows Server 2012 R2 e Windows Server 2012. La patch KB4535680 viene normalmente distribuita attraverso Windows Update e gli altri canali Microsoft.
La funzionalità Secure Boot può essere eventualmente disabilitata per caricare particolari distribuzioni Linux o utilità di supporto.
A questo proposito suggeriamo la lettura dell’articolo UEFI BIOS: cosa significa CSM e quando è utile.