Microsoft ponownie próbuje naprawić Secure Boot. Ma się obyć bez awarii

Jeżeli możesz przeczytać tę wiadomość, całkiem możliwe że aktualizacja stanu DBX dostarczona w tym tygodniu przez Windows Update nie zakleszczyła Twojej płyty głównej. To dobrze. Microsoft zdecydował się bowiem na drugie podejście z wydaniem aktualizacji kluczy Secure Boot. Zeszłoroczna próba skończyła się masowymi awariami urządzeń, czego najczęstszym przykładem były nieuruchamiające się laptopy HP. Problem leżał w ich BIOS-ie, a dokładniej – w firmware UEFI.

Specyfikacja Secure Boot zakłada, że tylko podpisane menedżery ładowania mogą zostać uruchomione na komputerze. Jeżeli coś jest chronione podpisem, to aby ochrona ta była prawdziwa, konieczna jest obsługa tzw. list odwoławczych. Pozwala ona anulować upoważnienie dla menedżerów, w których wykryto luki umożliwiające wykonywanie nieautoryzowanego kodu. W lutym 2020 roku wykryto taką lukę w jednym z podpisanych menedżerów, więc powstała lista odwoławcza, która wycofuje podpis z puli kluczy Secure Boot.

Cała jej dystrybucja jest jednak ponurym żartem. Przez wiele miesięcy, listy odwoławczej nie udostępniało Forum UEFI, podmiot odpowiedzialny. Listę rozsyłał więc... Microsoft, w ramach KB4524244, via Windows Update. Miałoby to sens, gdyby serwowano w ten sposób aktualizacje BIOS-u, ale lista odwoławcza była tylko skromnym fragmentem, a nie całym obrazem UEFI. Oznacza to, że producenci sprzętu nie udostępniają aktualizacji UEFI w Windows Update, bo albo nie mogą zdobyć certyfikacji, albo cały proces jest po prostu niegodny zaufania z definicji. Zamiast tego, Microsoft aktualizuje tylko mikro-fragment UEFI, zawierający spis upoważnionych kluczy.

Pech chciał, że nawet taka doza ostrożności okazała się zbyt mała. Owszem, Windows Update nie zaktualizował niemal nikomu UEFI, ale na wielu komputerach UEFI było tak stare, że procedura zmiany spisu kluczy była... nieobsługiwana. Wykonanie jej blokowało rozruch. Problemu nie byłoby, gdyby sprzęt posiadał aktualne UEFI. Tylko, że wtedy nie byłoby potrzeby posyłania nowych list kluczy, bo one też byłyby aktualne! Błędne koło.

Po tym, jak podniósł się ogólnoświatowy wrzask, Microsoft wycofał KB4524244. Podjęto też decyzję, o czym było już znacznie ciszej, że aktualizacja zostanie wydana "za rok" (styczeń 2021). No cóż, jest właśnie styczeń 2021. W ten sposób aktualizację wydano ponownie, pod innym numerem (KB4535680). Zawiera ona to samo co zeszłoroczny niewypał, ale została przepakowana tak, by wymagać nowego stosu serwisowego. Stos ten zawiera zaawansowane metody weryfikowania, czy przypadkiem UEFI na komputerze nie jest tak stare, że próba naprawy Secure Boot skończy się awarią.

Ten sam mechanizm blokuje instalację systemu Windows 10 w wersjach 2004/20H2. Jeżeli więc wciąż ktoś nie doczekał się nowego wydania Dziesiątki, warto sprawdzić, czy powodem nie jest przypadkiem nieaktualny BIOS. Ze względu na złożoność mechanizmu oraz obecność takich komponentów jak Intel Management Engine, aktualizowanie UEFI jest wysoce wskazane. Prędkie wycofywanie aktualizacji automatycznych firmware'u pozwala jednak domniemywać, z jakim wiąże się to ryzykiem.