/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2025/04/violazione-di-sicurezza-secure-boot.jpg "Violazione di sicurezza all'avvio dell'installazione di Windows: da cosa dipende")
Secure Boot è una funzionalità del BIOS UEFI progettata per impedire l’esecuzione di software non autorizzato all’avvio del sistema. I bootkit sono categorie di malware che sfruttano vulnerabilità a livello di bootloader per installare codice dannoso prima che sia avviato il sistema operativo. Nel 2023, il malware BlackLotus ha sfruttato una vulnerabilità del bootloader UEFI (CVE-2023-24932), costringendo Microsoft ad aggiornare il bootloader di Windows per eliminare il difetto di sicurezza. Da cosa dipendono, allora, gli errori violazione di sicurezza all’avvio dell’installazione di Windows oppure messaggi analoghi come Secure Boot Violation o Firma non valida rilevata?
Certificati del BIOS UEFI e del bootloader: cosa sono e a che servono
Il BIOS UEFI contiene un database di certificati di fiducia utilizzato per verificare l’integrità e la validità dei bootloader durante l’avvio del sistema. Questi certificati sono utilizzati dal sistema per determinare se il bootloader che si sta tentando di avviare è sicuro e firmato correttamente.
Come spiegato nell’articolo citato in precedenza, il bootloader è il programma che carica il sistema operativo all’avvio. Deve essere firmato con un certificato valido, che viene confrontato con i certificati nel database del BIOS UEFI.
Se il bootloader è firmato con un certificato presente nel BIOS UEFI, Secure Boot consente l’avvio del sistema. Viceversa, se il certificato del bootloader non è presente nel database o è revocato, Secure Boot impedirà l’avvio per proteggere il sistema da malware e altre minacce visualizzando uno dei messaggi di errore indicati in apertura.
In caso di aggiornamenti o modifiche ai certificati, come nel caso di Microsoft che sta revocando il certificato di firma “Windows Production CA 2011” dei bootloader di Windows, è necessario aggiornare sia il bootloader che il firmware UEFI per garantire che il sistema continui a funzionare correttamente.
L’esempio di Rufus, che controlla la validità dei certificati usati dai bootloader
Rufus, la popolare utilità che permette di creare supporti avviabili per l’installazione dei principali sistemi operativi, ha recentemente implementato una routine che provvede a scaricare gli elenchi DBX aggiornati dai repository GitHub gestiti da Microsoft.
Gli elenchi DBX (Database of Revoked Certificates) sono una parte fondamentale del sistema di gestione della sicurezza di Secure Boot. Questi elenchi contengono una lista di certificati di firma di bootloader e di altri componenti del sistema operativo che sono stati revocati per motivi di sicurezza, come nel caso di vulnerabilità o altre minacce. Quando un certificato è revocato, i dispositivi che utilizzano il firmware UEFI con Secure Boot attivo non accetteranno più quel certificato e non avvieranno il sistema se il bootloader è firmato con esso.
Quando Microsoft rilascia un aggiornamento del DBX, i dispositivi che utilizzano Secure Boot possono scaricare e aggiornare questo database tramite il sistema UEFI UpdateCapsule. L’idea alla base di UEFI UpdateCapsule consiste nell’invio di pacchetti di aggiornamento (chiamati appunto “capsule“) direttamente al firmware, senza la necessità di interagire con il sistema operativo.
Gli aggiornamenti sono tipicamente distribuiti Windows Update o altri canali ufficiali. Quando un utente riceve l’aggiornamento, il sistema operativo lo scarica e lo prepara per essere applicato.
Rilevato bootloader UEFI revocato
Grazie al download automatico delle liste DBX (il codice condiviso dall’autore Pete Batard su GitHub è interessante…), Rufus può adesso eventualmente esporre, in maniera ancora più precisa e puntuale, il messaggio “Rilevato bootloader UEFI revocato. Rufus ha rilevato che l’ISO selezionata contiene un bootloader UEFI che è stato revocato e che quando Secure Boot è abilitato su un sistema UEFI completamente aggiornato produrrà un errore“.
L’avviso appare ogniqualvolta si tentasse di creare un supporto USB avviabile a partire da un’immagine ISO contenente un bootloader che usa un certificato di firma presente nella lista DBX.
I sistemi con Secure Boot attivo potrebbero non avviarsi dall’unità di avvio e l’errore può evidenziare anche una possibile incompatibilità con il firmware UEFI aggiornato.
Come risolvere il problema
A inizio 2025, Microsoft ha pubblicato uno script PowerShell per aggiornare il certificato digitale contenuto nelle unità di boot e renderle nuovamente avviabili sui sistemi UEFI che usano la firma “Windows Production CA 2023“.
L’approccio migliore consiste nell’effettuare il download di un file ISO aggiornato prima di passarlo a Rufus ed effettuare il boot. Nel caso di Windows, si può fare riferimento al super trucco per scaricare Windows 10 e 11 con un solo comando.
In ogni caso, è importante assicurarsi che l’immagine ISO provenga da una fonte affidabile. È possibile confrontare l’hash del file con quello ufficiale pubblicato dal produttore (Microsoft così come i siti Web ufficiali degli altri progetti, nel caso di sistemi operativi e utilità che non sono versioni ufficiali di Windows).
Credit immagine in apertura: iStock.com – Just_Super
/https://www.ilsoftware.it/app/uploads/2025/04/inetpub-aggiornamenti-microsoft-windows-11.jpg "Avete installato gli aggiornamenti Windows 11 di aprile? In C: spunta la cartella inetpub (aggiornato)")
/https://www.ilsoftware.it/app/uploads/2025/04/windows-11-microsoft-rinnovo-menu-start.jpg "Microsoft scopre che il menu Start di Windows 11 è inadeguato... e lo cambia")
/https://www.ilsoftware.it/app/uploads/2025/04/hotpatch-windows-11-enterprise-24H2.jpg "Hotpatching al debutto in Windows 11 Enterprise 24H2")
/https://www.ilsoftware.it/app/uploads/2025/04/schermata-blu-windows-11-diventa-nera.jpg "Windows 11: addio alla schermata blu di errore (BSoD). Perché diventa nera?")