Secure Boot miał być tą warstwą ochrony, która pilnuje, żeby komputer uruchamiał wyłącznie zaufane, podpisane oprogramowanie już od momentu włączenia zasilania. W połowie lipca 2026 roku badacze z firmy ESET pokazali, że przez ponad dekadę mechanizm ten dało się cicho ominąć — i to bez żadnej wyrafinowanej techniki. Wystarczyło skorzystać z jednego z jedenastu starych, wciąż podpisanych przez Microsoft bootloaderów, których nikt na czas nie unieważnił.
Na czym polega problem
Chodzi o tzw. shimy — niewielkie pośredniczące bootloadery używane w świecie Linuksa, które są podpisane certyfikatem Microsoftu i dzięki temu przechodzą weryfikację Secure Boot na praktycznie każdym pececie. ESET znalazł jedenaście takich komponentów w wersji 0.9 lub starszej, z których część miała ponad dziesięć lat. Wszystkie zawierały ten sam błąd: sprawdzały rozmiar podpisu binarki w innym miejscu, niż ten podpis potem weryfikowały.
Podpisany plik wykonywalny zapisuje długość swojej sygnatury w dwóch miejscach — w nagłówku PE oraz w strukturze WIN_CERTIFICATE. Podatne shimy porównywały listę unieważnień z jedną wartością, a poprawność podpisu z drugą. Ta rozbieżność pozwala napastnikowi tak spreparować strukturę certyfikatu, aby przemycić złośliwą binarkę obok kontroli. Część shimów dodatkowo wciąż ufała starym plikom GRUB 2 podatnym na lukę CVE-2015-5281 z 2015 roku, przez którą można załadować niepodpisany kod poleceniem multiboot. Całość opisano jako CVE-2026-8863 oraz CVE-2026-10797.
Dlaczego to takie groźne
Najgorsze w tej historii nie jest to, że luka jest skomplikowana — wręcz przeciwnie. Napastnik nie potrzebuje żadnych zaawansowanych technik, wystarczy kopia starego, ale wciąż zaufanego shima i podstawowa wiedza o tym, jak on działa. Co więcej, atak nie ogranicza się do komputerów, na których faktycznie zainstalowano dany system Linux. Napastnik może przynieść własną kopię podatnej binarki na dowolne urządzenie, które ma włączony certyfikat Microsoft third-party UEFI — a to zdecydowana większość pecetów na rynku.
Efektem udanego ataku jest uruchomienie kodu jeszcze przed startem systemu operacyjnego i możliwość zainstalowania tzw. bootkitu — złośliwego oprogramowania, które siedzi poniżej systemu, przetrwa jego reinstalację i jest niezwykle trudne do wykrycia. Do rodziny takich zagrożeń należą znane bootkity jak BlackLotus, Bootkitty czy HybridPetya. Warto zaznaczyć, że do przeprowadzenia takiego ataku napastnik potrzebuje zwykle uprawnień administratora lub fizycznego dostępu do maszyny, więc nie jest to atak zdalny „jednym kliknięciem” — ale jego skutki są wyjątkowo trwałe.
Co zrobił Microsoft i co możesz zrobić Ty
Microsoft unieważnił jedenaście podatnych binarek, dodając ich skróty do bazy zakazanych podpisów (dbx) w ramach aktualizacji Patch Tuesday z 9 czerwca 2026 roku. Unieważnienie musiało nastąpić po skrótach, a nie przez wygaśnięcie certyfikatu, bo certyfikat podpisujący (Microsoft Corporation UEFI CA 2011) i tak wygasał samodzielnie pod koniec czerwca. Sami badacze przyznają jednak, że nikt nie wie, ile jeszcze podobnych, zapomnianych shimów wciąż krąży w sieci z ważnym podpisem.
W praktyce najważniejsze jest regularne instalowanie aktualizacji systemu Windows — to właśnie one wgrywają nowe wpisy do listy unieważnień UEFI. Warto też upewnić się, że w BIOS/UEFI włączony jest Secure Boot, oraz — jeśli to możliwe w danym środowisku — rozważyć wyłączenie certyfikatu Microsoft third-party UEFI na maszynach, które nie potrzebują uruchamiać Linuksa. Dodatkową barierą jest ustawienie hasła na BIOS oraz szyfrowanie dysku (BitLocker, LUKS), co utrudnia manipulację przy procesie startowym osobie mającej fizyczny dostęp do komputera.
Podsumowanie
Sprawa jedenastu shimów to świetna ilustracja tego, że bezpieczeństwo to nie jednorazowe wdrożenie, lecz nieustanne pilnowanie tego, co uznajemy za „zaufane”. Podpis kryptograficzny sprzed dekady wciąż otwierał drzwi, bo nikt na czas nie dopisał go do listy unieważnień. Dla zwykłego użytkownika wniosek jest prosty: aktualizacje systemu to nie tylko nowe funkcje, ale często cicha naprawa fundamentów, na których stoi cała reszta ochrony komputera.
źródło: https://www.welivesecurity.com/en/eset-research/forgotten-uefi-shims-undermining-secure-boot/