Al più tardi entro ottobre 2024, molte cose sui vostri computer potrebbero non avviarsi più regolarmente. Giusto per fare qualche esempio, le vecchie installazioni di Windows e Linux, i dispositivi rimovibili che integrano routine di installazione e altri sistemi operativi, i supporti per il ripristino delle immagini di backup e molto altro ancora. La spada di Damocle incombe su milioni di utenti per via di una modifica che Microsoft ha da tempo deciso di introdurre in Secure Boot e che potrebbe avere conseguenze “fatali”.
Non si tratta di un allarme ingiustificato: è Microsoft stessa, nella documentazione di supporto, a sostenere che le modifiche introdotte nel funzionamento della procedura di boot potrebbero impedire il caricamento di sistemi operativi e di altre utilità dotate di un proprio bootloader.
Cosa può succedere con Secure Boot da qui a ottobre 2024 e perché tanti sistemi non si avvieranno più
Secure Boot è una funzionalità che abilita una sequenza di avvio affidabile a livello del kernel di Windows. Diventata requisito essenziale per l’installazione di Windows 11, Secure Boot aiuta ad assicurare che in fase di boot del sistema siano caricati soltanto componenti software approvati e legittimi, scongiurando quindi l’azione di eventuali malware (i.e. bootkit).
Scoperto all’inizio del 2023, BlackLotus è il primo bootkit a superare le difese di Secure Boot. La vulnerabilità CVE-2023-24932 è stata sfruttata proprio da BlackLotus per aggirare le protezioni di Secure Boot. Tuttavia, la correzione del problema di sicurezza richiede la revoca di tutte le firme Secure Boot rilasciate nel corso degli anni.
Già a febbraio 2024 parlavamo di terremoto Secure Boot e del rilascio delle nuove chiavi: per la prima volta dopo 13 anni, infatti, l’azienda di Redmond si accinge a dichiarare come non più attendibili firme utilizzate nella stragrande maggioranza di software di utilizzo comune. Ed è un passaggio davvero epocale perché le firme digitali rilasciate fino al 2012 sono largamente utilizzate da molteplici programmi legittimi, che si caricano all’avvio, per superare i controlli svolti da Secure Boot.
I primi problemi potrebbero verificarsi a partire da luglio 2024
I tecnici dell’azienda di Redmond spiegano che le misure cautelative contro il superamento delle protezioni di Secure Boot (CVE-2023-24932) sono incluse negli aggiornamenti di sicurezza per Windows rilasciati il 9 aprile 2024. Microsoft precisa, tuttavia, che al momento queste correzioni non sono automaticamente abilitate. Questo per dare tempo agli utenti di verificare l’effettivo impatto degli interventi sulle loro configurazioni software.
Come abbiamo anticipato nell’articolo citato in precedenza, aprendo una finestra PowerShell (premere Windows+X
quindi scegliere Windows PowerShell (amministratore) in Windows 10 oppure Terminale (Admin) in Windows 11) quindi digitando l’istruzione riportata di seguito, si otterrà False come risposta fintanto che le revoche delle firme Secure Boot non entreranno in vigore:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'UEFI CA 2023'
A partire dal 9 luglio 2024, Microsoft inizierà progressivamente ad attivare le revoche di Secure Boot come misura di protezione contro i bootkit come BlackLotus. Di contro, però, tanti software caricati all’avvio del dispositivo, potrebbero non funzionare più.
Gli errori al momento del caricamento di software che usano bootloader non più approvati
Microsoft sottolinea che è necessario attivarsi per tempo al fine di aggiornare i supporti di ripristino o di installazione. Solo in questo modo, infatti, questi strumenti potranno continuare funzionare sui dispositivi che utilizzano le mitigazioni contro la vulnerabilità CVE-2023-24932. Le istruzioni per procedere con l’aggiornamento dei supporti d’installazione di Windows, ad esempio, sono riportate qui.
Diversamente, come conferma anche Dell, possono apparire errori come Windows non può verificare la firma digitale per questo file oppure Il tuo dispositivo deve essere riparato (codice di errore 0xc0e90002
).
A complicare la situazione, Microsoft sostiene che per applicare le “misure anti-BlackLotus” e minacce simili, deve fare affidamento sia sul firmware UEFI del dispositivo che sul database Forbidden Signature Key (DBX). L’azienda ha però verificato che alcuni dispositivi non risultano aggiornabili: Microsoft sta lavorando con i produttori di device per attivare le modifiche sul maggior numero possibile di prodotti.
Creare una copia di backup della chiave di ripristino BitLocker: problemi in vista
Alcuni dispositivi sui quali è attivato BitLocker, inoltre, potrebbero entrare nella modalità di ripristino dopo l’attivazione delle revoche per Secure Boot. Gli utenti sono quindi esortati ad assicurarsi di avere a disposizione una copia della chiave di ripristino BitLocker. Il backup può essere effettuato digitando Gestione BitLocker nella casella di ricerca di Windows quindi facendo clic sul collegamento Esegui backup chiave di ripristino (edizioni Pro, Education ed Enterprise).
Le edizioni Home di Windows non supportano nativamente la gestione delle chiavi di ripristino BitLocker in modalità grafica. In questo caso, è necessario digitare cmd
nella casella di ricerca, scegliere Esegui come amministratore quindi scrivere quanto segue:
manage-bde -protectors -get C:
Al posto di C:
va ovviamente indicata la lettera identificativa dell’unità crittografata e protetta con BitLocker. Dopo aver eseguito il comando, appariranno diverse informazioni, tra cui la chiave di ripristino. La chiave va copiata e salvata in un luogo sicuro, perché servirà per sbloccare l’unità in caso di problemi.
Nessun problema per chi non utilizza Secure Boot
Tutti gli utenti che dispongono di un BIOS legacy o che non hanno attivato la funzionalità Secure Boot nel firmware UEFI, non saranno interessati dai problemi in fase di boot.
Utilizzate la combinazione di tasti Windows+R
quindi digitate msinfo32
e premete Invio. In corrispondenza della sezione principale (Risorse di sistema), portatevi nel pannello a destra e cercate la voce Stato avvio protetto. Se leggete Disattivato, significa che la funzionalità Secure Boot non è abilitata: tutte le considerazioni riportate in precedenza non hanno valore quando Secure Boot non è supportato o non fosse in funzione.
Credit immagine in apertura: Copilot Designer.