Срок действия сертификатов безопасной загрузки UEFI на компьютерах Windows истекает в июне. Миллионы компьютеров требуют обновления
Microsoft напоминает нам о скором истечении срока действия сертификатов безопасности Secure Boot, действующих с 2011 года. Для обычного пользователя это может звучать как абстрактная тема системной инфраструктуры, но последствия отсутствия обновлений могут повлиять на безопасность миллионов компьютеров по всему миру. Что на самом деле происходит, когда срок действия сертификатов истекает, и какие шаги следует предпринять, чтобы избежать проблем?
Microsoft заменяет 15-летние сертификаты Secure Boot, срок действия которых истекает в июне, чтобы защитить устройства от угроз на уровне загрузчика. Без обновления компьютеры перейдут в состояние пониженной безопасности.
Обновление пакета опустошило криптовалютные кошельки. Биржа dYdX предупреждает пользователей. Проверьте, относится ли это и к вам
Безопасная загрузка — это механизм, представленный Microsoft в Windows 8, который проверяет загрузчики при запуске компьютера, предотвращая загрузку непроверенного программного обеспечения. Исходные сертификаты UEFI, используемые в этой технологии, относятся к периоду разработки Windows 8 в 2011 году и с тех пор играют важную роль в обеспечении безопасности процесса загрузки. Однако в июне 2026 года, после пятнадцати лет службы, они достигнут конца своего жизненного цикла и перестанут действовать. Microsoft уверяет, что компьютеры без новых сертификатов продолжат нормально функционировать, т.е. система загрузится и будут установлены стандартные обновления Windows. Проблема кроется в другом. Устройства войдут в так называемый состояние пониженной безопасноститеряя возможность получать будущую безопасность на уровне загрузки. На практике это означает, что при появлении новых уязвимостей в Secure Boot, а история показывает, что это лишь вопрос времени, производитель не сможет их исправить. Достаточно вспомнить случай с буткитом BlackLotus 2023 года, который смог обойти Secure Boot с помощью уязвимости CVE-2022-21894. Без возможности исправлять такие угрозы зараженные машины могут стать легкой мишенью для киберпреступников.
Российским хакерам понадобилось всего 48 часов. Microsoft не успела пропатчить Office, а Польша была в пределах досягаемости
Для большинства пользователей переход на новые сертификаты должен осуществляться автоматически через Центр обновления Windows. Microsoft распространяет обновление, которое записывает новые сертификаты в небольшую NVRAM материнской платы — область, используемую для хранения переменных UEFI между запусками системы. Чтобы проверить, использует ли ваш компьютер новые сертификаты, необходимо выполнить простую команду PowerShell: `((System.Text.Encoding)::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)`. Если он возвращает «истину», машина безопасна. В противном случае убедитесь, что на вашем устройстве используется текущая версия системы. Для Windows 11 это версия 24H2 или 25H2, а для Windows 10 требуется регистрация в программе ESU (Extended Security Updates). Пользователям старых компьютеров, особенно выпущенных до 2019 года, также следует обратиться к производителю за обновлениями BIOS. Dell, HP, Lenovo и Asus уже предоставили списки моделей и инструкции по установке новых сертификатов, хотя для некоторого оборудования может потребоваться вмешательство вручную. В крайних случаях вам потребуется сбросить ключи безопасной загрузки до заводских настроек, для чего потребуется ключ восстановления BitLocker.
Группа APT взяла на себя управление хостинговой инфраструктурой Notepad++ и распространяла вредоносные обновления с июня 2025 года.
С точки зрения рынка обмен сертификатами обновление поколений фундамента довериякак выразился Нуно Коста, менеджер программы по обслуживанию и доставке Windows. Однако для обычного пользователя это прежде всего означает одно. Если система не будет обновлена до июня, она может потерять доступ к будущим мерам безопасности, что со временем приведет к реальной уязвимости для атак. Более того, новые версии операционных систем и прошивок, требующие сертификатов с 2023 года, могут вообще не работать на машинах без обновления. Microsoft обеспечивает поддержку отдельных пользователей через свою горячую линию, а компании получили специальные руководства для ИТ-отделов. Стоит помнить, что большинство компьютеров, выпущенных с 2024 года, уже имеют новые сертификаты, встроенные прямо в BIOS, что полностью исключает проблему. Однако старые устройства требуют сознательных действий. Игнорирование этой темы может стоить вам больше, чем несколько минут, потраченных на проверку вашего статуса безопасности в будущем.
Источник: Служба поддержки Microsoft, блог Windows Experience.
