- A partir desta quarta-feira, 24, três certificados digitais que protegem a sequência de inicialização (Secure Boot) expiram, afetando Windows e Linux.
- Mesmo com a expiração, os PCs devem ligar normalmente; porém deixam de receber novas proteções para a inicialização após a data.
- A Microsoft substitui os certificados de 2011 por uma geração de 2023, válida até 2038; a maior parte dos computadores fabricados a partir de 2024 já recebeu as chaves atualizadas.
- Para verificar o status no Windows, vá em Configurações de Segurança do Windows > Segurança do Dispositivo > Secure Boot; sinal verde indica atualização concluída. No Linux, acompanhe lançamentos do shim atualizado pelas distribuições, como Red Hat Enterprise Linux.
- Computadores mais antigos, sem atualizações automáticas ou com firmware sem suporte, estão mais expostos e podem perder proteção futura; é essencial manter o firmware atualizado para que a renovação ocorra sem problemas.
Três certificados digitais que protegem a sequência de inicialização de computadores com Windows e Linux vão expirar nesta semana. Emitidos pela Microsoft em 2011, eles sustentam o Secure Boot, mecanismo que verifica a origem do firmware carregado no boot. A expiração não impossibilita o funcionamento imediato dos PCs.
Segundo a Microsoft e a Malwarebytes, dispositivos que ainda dependem dos certificados de 2011 continuam funcionando nesta terça-feira, 24 de junho. O problema está no que acontece depois: não haverá novas proteções de segurança para o processo de inicialização nem atualizações de listas de revogação.
O Secure Boot existe para combater bootkits de UEFI, malwares que atuam antes do carregamento do sistema e são difíceis de detectar. Em 2018, o grupo Fancy Bear documentou o primeiro caso real, o LoJax. Em 2023 foi identificada a vulnerabilidade LogoFail, que acelerou a troca de certificados.
Na prática, a Microsoft substitui os certificados de 2011 por uma geração de 2023, válida até 2038. A maior parte dos PCs fabricados a partir de 2024 já recebeu as chaves atualizadas. A atualização costuma ocorrer automaticamente durante o ciclo de Windows Update.
Para conferir o status no Windows, acesse Configurações de Segurança > Segurança do Dispositivo > Secure Boot. Se houver sinal verde, a atualização já foi concluída. Usuários de Linux devem acompanhar o lançamento de novas versões do shim, que conectam as chaves ao carregador.
Distribuições como Red Hat Enterprise Linux já disponibilizaram versões atualizadas do shim para a maioria de seus sistemas ativos. Controles de firmware antigo ou sem atualização automática apresentam maior risco de não concluir a transição a tempo.
Quem usa máquinas mais antigas precisa ficar atento: sem atualizações de firmware, o dispositivo pode perder proteção frente a ameaças futuras, mesmo mantendo o funcionamento. A Microsoft recomenda manter o firmware atualizado para facilitar a renovação dos certificados do Secure Boot.
Entre na conversa da comunidade