A partir desta quarta-feira, 24, três certificados digitais que protegem a sequência de inicialização de computadores com Windows e Linux começam a expirar.

As chaves, emitidas pela Microsoft em 2011, sustentam o Secure Boot — mecanismo de segurança que verifica se cada componente de firmware carregado na inicialização do sistema vem de uma fonte confiável.

O fim da validade não vai impedir que os computadores liguem.

Segundo a Microsoft e a empresa de cibersegurança Malwarebytes, dispositivos que ainda dependem dos certificados de 2011 vão continuar funcionando normalmente em 24 de junho, sem nenhuma falha visível naquele dia.

O problema é o que acontece depois: esses aparelhos deixam de receber novas proteções de segurança para o processo de inicialização, incluindo atualizações ao Gerenciador de Inicialização do Windows e listas de revogação contra ameaças recém-descobertas.

Por que o Secure Boot existe?

O Secure Boot foi criado para combater os chamados bootkits de UEFI — um tipo de malware que se instala antes mesmo de o sistema operacional carregar, tornando-se extremamente difícil de detectar e remover.

Diferente de vírus convencionais, um bootkit pode sobreviver à reinstalação completa do sistema operacional, porque se aloja em uma camada de software mais profunda que o próprio Windows ou Linux.

O primeiro caso real documentado desse tipo de ataque foi identificado em 2018: o malware LoJax, criado pelo grupo de hackers ligado ao governo russo conhecido como Fancy Bear (ou APT28).

Em 2023, pesquisadores descobriram uma vulnerabilidade mais ampla, batizada de LogoFail, que afetava praticamente todos os sistemas Windows e Linux do mundo — falha que acelerou a decisão da Microsoft de substituir os certificados antigos.

O que muda na prática

A Microsoft está substituindo os certificados de 2011 por uma nova geração, datada de 2023, válida até 2038. A maioria dos computadores fabricados a partir de 2024 já recebeu as chaves atualizadas, e o processo para os demais dispositivos costuma ocorrer de forma automática, durante os ciclos normais de atualização do Windows.

Para verificar o status em computadores com Windows, o caminho é acessar Configurações de Segurança do Windows, depois Segurança do Dispositivo e, por fim, Secure Boot.

Um sinal de verificação verde indica que a atualização já foi concluída. Usuários de Linux devem acompanhar o lançamento de novas versões do "shim" — um pequeno componente de inicialização que funciona como ponte entre as chaves do Secure Boot e o carregador de inicialização do sistema. Distribuições como o Red Hat Enterprise Linux já distribuíram versões atualizadas para a maioria de suas versões com suporte ativo.

Quem precisa se preocupar mais

Computadores mais antigos, que não recebem atualizações automáticas ou cujos fabricantes pararam de oferecer atualizações de firmware, correm o maior risco de não concluir a transição a tempo.

Esses dispositivos continuarão vulneráveis a ataques que já existiam, mas perderão a capacidade de receber proteção contra ameaças futuras que ainda serão descobertas.

A Microsoft recomenda manter o firmware do computador sempre atualizado, já que isso costuma ser necessário para que a renovação dos certificados do Secure Boot ocorra sem problemas. A empresa disponibiliza informações detalhadas sobre como aplicar essas atualizações em sua central de suporte oficial.