Descoberta e escopo da crise de certificados
Como um relógio que chegou ao fim, a infraestrutura de confiança de inicialização de bilhões de computadores globais enfrenta uma mudança estrutural crítica. A partir de 24 de junho de 2026, o primeiro dos certificados originais de Secure Boot da Microsoft, o Microsoft Corporation KEK CA 2011, expirou oficialmente. O certificado Microsoft UEFI CA 2011 seguirá o mesmo destino em 27 de junho de 2026, e o Microsoft Windows Production PCA 2011 está programado para expirar em 19 de outubro de 2026.
Esses certificados sustentaram a confiança em nível de firmware em cada PC com capacidade UEFI implantado desde a era do Windows 8, abrangendo mais de um bilhão de dispositivos em todo o mundo, incluindo sistemas que executam distribuições Linux. Não se trata de uma atualização de Patch Tuesday rotineira, mas de uma alteração permanente na cadeia de confiança criptográfica que é executada sempre que um dispositivo é ligado.
O escopo é imenso. Todo computador fabricado com uma placa-mãe baseada em UEFI, abrangendo Windows 10, Windows 11, Windows Server 2012 até 2025, e qualquer hardware lançado desde aproximadamente 2012, está potencialmente no escopo. Dispositivos enviados em 2025 ou posteriores, incluindo PCs Copilot+, geralmente chegam com os certificados de 2023 pré-instalados e não exigem ação.
Impacto técnico e segurança do boot
Para compreender a gravidade, é necessário entender a hierarquia de chaves em camadas armazenada no firmware UEFI. A Platform Key (PK) fica no topo, autorizando a Key Enrollment Key (KEK). A KEK assina atualizações para dois bancos de dados críticos: o Allowed Signature Database (DB), que lista assinaturas de inicialização confiáveis, e o Forbidden Signature Database (DBX), que bloqueia variantes conhecidas de malwares.
No momento da inicialização, o firmware verifica a assinatura criptográfica do bootloader contra o DB. Se corresponder e não estiver revogado no DBX, o sistema prossegue. Quatro certificados que ancoram toda essa hierarquia estão agora no fim da vida útil:
- Microsoft Corporation KEK CA 2011: Expira em 24 de junho de 2026. Substituído pelo Microsoft Corporation KEK 2K CA 2023. Assina atualizações ao DB e DBX.
- Microsoft Corporation UEFI CA 2011: Expira em 27 de junho de 2026. Substituído pelo Microsoft UEFI CA 2023. Assina componentes de drivers de hardware e sistemas operacionais de terceiros.
- Microsoft Corporation UEFI CA 2011 (Option ROM): Expira em 27 de junho de 2026. Substituído pelo Microsoft Option ROM UEFI CA 2023. Assina Option ROMs de terceiros.
- Microsoft Windows Production PCA 2011: Expira em 19 de outubro de 2026. Substituído pelo Windows UEFI CA 2023. Assina o bootloader do Windows.
Os certificados de substituição de 2023 são válidos até 2038, oferecendo aproximadamente 15 anos de cobertura contínua. No entanto, dispositivos que falharem na migração continuarão a inicializar e executar o software existente normalmente. O que eles perdem permanentemente, no entanto, é muito mais consequente.
Riscos de segurança e dívida técnica
Dispositivos que não migram acumulam dívida de segurança composta sem um caminho de remediação limpo de volta. Os principais riscos incluem:
- Atualizações de lista de revogação DBX congeladas: Novos bootkits e variantes maliciosas de bootloader nunca serão listadas como bloqueadas em nível de firmware.
- Atualizações de segurança do Windows Boot Manager congeladas: O bootloader fica travado na última versão assinada com 2011.
- Atualizações de DB Secure Boot bloqueadas: Componentes de hardware de terceiros e drivers de sistema operacional assinados com novos certificados não serão confiados.
- Bloqueio potencial de atualizações de recursos do Windows: Novas compilações podem exigir uma versão do Boot Manager que requer a cadeia de certificados de 2023.
Ator de ameaças explorando malware de classe bootkit operam precisamente neste nível de firmware que o mecanismo de revogação DBX do Secure Boot foi projetado para bloquear. A falha na atualização deixa a superfície de ataque exposta a comprometimentos de firmware que poderiam passar despercebidos por soluções de segurança tradicionais baseadas em SO.
Impacto em distribuições Linux
Distribuições Linux são igualmente expostas. Quase todas as principais distribuições Linux, como Ubuntu, Fedora, Debian e RHEL, usam o Microsoft UEFI CA 2011 para assinar o bootloader de primeira etapa shim que permite que esses sistemas inicializem com o Secure Boot habilitado.
O Fedora Project confirmou que, uma vez que a chave de 2011 expirar, quaisquer novos binários shim serão assinados apenas com a chave de 2023. Isso significa que a mídia de instalação do Linux que depende de um novo shim assinado com a chave de 2023 falhará ao inicializar em máquinas cujo firmware contém apenas os certificados antigos de 2011. Isso tem um impacto direto em instalações bare-metal, implantações de servidores e modelos de VM em ambientes corporativos.
Medidas de mitigação recomendadas
A orientação oficial da Microsoft e os avisos dos OEMs deixam claro que a remediação requer duas ações sequenciais:
- Atualização de Firmware OEM (BIOS/UEFI) primeiro: Dispositivos fabricados antes de 2024 precisam de uma atualização de firmware fornecida pelo fabricante para permitir que seu UEFI aceite os certificados de 2023. Utilize Dell Command | Update, Lenovo System Update ou HP Image Assistant, dependendo do fornecedor de hardware.
- Atualização de Certificado Windows segundo: Entregue via atualizações cumulativas mensais da Microsoft. Requer Windows 10 22H2+ com inscrição ESU, ou qualquer versão suportada do Windows 11. Uma tarefa agendada é executada aproximadamente a cada 12 horas para preparar a atualização, com a substituição do Boot Manager adiada para a próxima reinicialização.
Para ambientes corporativos, o Microsoft Intune e o Windows Autopatch incluem uma política dedicada de atualização de certificados de Secure Boot e um relatório de status de Secure Boot integrado. Administradores de Política de Grupo devem habilitar "Enable Secure Boot Certificate Deployment" em Computer Configuration > Administrative Templates > Windows Components > Secure Boot após implantar os modelos ADMX mais recentes do Windows 11.
Verificação e conformidade
Para sistemas Linux, os administradores devem atualizar tanto o pacote shim (via apt full-upgrade, dnf upgrade ou equivalente) quanto aplicar a atualização de firmware OEM que inscreve o certificado Microsoft UEFI CA 2023 no firmware DB. A versão fwupd 2.0.10 ou posterior é necessária para que o Linux Vendor Firmware Service (LVFS) funcione corretamente.
No Windows, navegue até Windows Security > Device Security > Secure Boot. Um emblema verde confirmando "all certificates are applied" é o indicador necessário, não meramente um checkmark verde. Alternativamente, verifique a chave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\UEFICA2023Status para um valor "updated".
No Linux, execute sudo mokutil --sb-state para confirmar o status do Secure Boot e sudo mokutil --db para inspecionar certificados inscritos. Se a saída mostrar apenas o certificado Microsoft Corporation UEFI CA 2011, seu firmware precisa de uma atualização imediatamente.
O que os CISOs devem fazer agora
A expiração do Windows Production PCA 2011 em 19 de outubro de 2026 fornece um prazo secundário, mas as organizações que dependem dos certificados KEK e UEFI CA já passaram de sua janela a partir de hoje. A prioridade imediata deve ser a inventarização de ativos de firmware e a execução de atualizações de BIOS/UEFI em massa.
Recomenda-se a implementação de monitoramento contínuo para detectar dispositivos que não reportam o status de certificado atualizado. A falha em remediar esta situação não é apenas uma questão de compatibilidade, mas uma exposição direta a riscos de comprometimento de firmware que podem ser explorados por adversários avançados para manter persistência em nível de sistema.