Výzkumníci z bezpečnostní společnosti ESET objevili skupinu starých UEFI zavaděčů, které Microsoft podepsal a dlouhá léta je ponechal důvěryhodné. Útočníci díky nim mohli obejít ochranu Secure Boot a otevřít cestu škodlivému kódu, který se usadí hluboko v systému. Microsoft už část problému opravil, odborníci ale upozorňují, že pátrání zdaleka nekončí.
Bezpečnostní mechanismus Secure Boot měl od svého vzniku chránit počítače před nebezpečným kódem, který se spouští ještě před načtením operačního systému. Nové zjištění společnosti ESET ale ukazuje, že tato ochrana měla dlouhé roky výraznou slabinu. Microsoft totiž ponechal důvěryhodné staré UEFI shim zavaděče, přestože se u nich už dříve objevily známé bezpečnostní chyby.
Problém se týká celkem jedenácti zranitelných shimů. Jde o malé zavaděče, které Microsoft podepisuje hlavně kvůli tomu, aby mohly linuxové distribuce fungovat se zapnutým Secure Boot. Stejný princip ale využívají také některé diagnostické nástroje a další utility. Útočníkům stačilo použít starou, stále důvěryhodnou verzi a získali možnost obejít jednu z nejdůležitějších bezpečnostních funkcí počítače.
Microsoft Secure Boot has been broken for most of its existence https://t.co/VdLZ670k6Q
— Ars Technica (@arstechnica) July 14, 2026
Chyba se netýkala jen Linuxu
Dopad se přitom neomezoval jen na Linux. Ohrožené byly také počítače s Windows, protože Microsoft podepsal tyto shimy vlastním certifikátem pro UEFI. Pokud měl počítač tento certifikát nainstalovaný, mohl škodlivý zavaděč otevřít cestu rootkitům nebo dalším druhům malwaru, které přežijí i přeinstalaci systému nebo výměnu pevného disku.
Jak upozornil výzkumník Martin Smolár z ESET, největší problém nespočívá v nové zranitelnosti. „Co dělá tyto staré shimy nebezpečnými, není nová zranitelnost. K obejití UEFI Secure Boot není potřeba objevovat nic nového.“ Podle něj útočník potřebuje jen starý, stále důvěryhodný soubor a základní znalost fungování těchto zavaděčů.
Secure Boot vznikl už v roce 2012 jako obrana proti takzvaným bootkitům. Ty dokážou napadnout firmware počítače a spustit škodlivý kód ještě před operačním systémem. Právě proti podobným útokům měla technologie chránit, jenže staré podepsané shimy tuto ochranu prakticky obcházely.
Microsoft opravil známé případy
ESET nahlásil problém letos v únoru a Microsoft následně reagoval v červnové sadě bezpečnostních aktualizací. Windows 11 po instalaci těchto záplat už jedenáct známých shimů nepovažuje za důvěryhodné. Jejich otisky přibyly do databáze zneplatněných komponent označované jako dbx. Také uživatelé Linuxu si mohou ověřit, zda jejich systém obsahuje aktuální databázi.
Výzkumníci ale upozorňují, že tím celý příběh nekončí. Před rokem 2017 totiž neexistovalo centrální úložiště projektu shim-review, takže nikdo systematicky neevidoval všechny podepsané verze. Další zranitelné shimy tak mohou stále existovat a Microsoft je nemůže zneplatnit, dokud je bezpečnostní odborníci nenajdou.
Podle expertů ukazuje celý případ také na složitost samotného Secure Boot. Vedle databází důvěryhodných a zakázaných certifikátů využívá systém další mechanismy, například SBAT nebo Secure Boot Security Version Number, které řeší zneplatňování starších verzí. Právě množství navzájem propojených pravidel podle některých odborníků zvyšuje riziko, že podobná přehlédnutí zůstanou dlouho bez povšimnutí.
Firmware expert HD Moore označil celý případ za vážnou připomínku limitů současného modelu. Podle něj vznikl ekosystém, ve kterém existuje velké množství podepsaných komponent, o nichž nikdo přesně neví, jaké možnosti poskytují. Celý ekosystém je do určité míry rozbitý a potřebuje restart.

