PDA

View Full Version : Secure Boot aggirabile su Windows e Linux per oltre un decennio, Microsoft corre ai ripari


Redazione di Hardware Upg
15-07-2026, 09:01
Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/secure-boot-aggirabile-su-windows-e-linux-per-oltre-un-decennio-microsoft-corre-ai-ripari_156319.html

Una ricerca di ESET ha individuato 11 vecchi bootloader UEFI firmati da Microsoft che, pur essendo vulnerabili, sono rimasti attendibili per anni. Il problema consentiva di aggirare Secure Boot su Windows e Linux, favorendo l'installazione di bootkit persistenti. Microsoft ha revocato i componenti interessati con gli aggiornamenti di giugno 2026.

Click sul link per visualizzare la notizia.

marcram
15-07-2026, 09:26
Come sempre: il Secure Boot crea più problemi di quelli che risolve.

coschizza
15-07-2026, 09:58
Come sempre: il Secure Boot crea più problemi di quelli che risolve.

"Come sempre" indica che lo fa sempre cosa non vera tu leggi solo le notizie qunsdo si trova un problema che altera la tua percezionel. E come se dicessi che linux ha sempre problemi perche si fanno decine di fix al giorno, posso dire che è cosi? no non credo ma per te si in base al tuo ragionamento. Non funziona cosi l'informatica perche se fosse cosi si potrebbe dire che l'informatica in generale non funziona quasi mai.

Tutto questo ha un nome scientifico che è bias cognitivo.

Darkon
15-07-2026, 10:01
"Come sempre" indica che lo fa sempre cosa non vera tu leggi solo le notizie qunsdo si trova un problema che altera la tua percezionel. E come se dicessi che linux ha sempre problemi perche si fanno decine di fix al giorno, posso dire che è cosi? no non credo ma per te si in base al tuo ragionamento.

Al di là del ragionamento generale è che il secure boot ha risolto molto poco per non dire quasi niente dei problemi ma introducendo rognette di vario genere.

Alla fine anche se sicuramente dire "come sempre" è sbagliato diciamo che è una tecnologia poco utile che rischia di creare problemi in misura maggiore a quelli che tenta di risolvere.

coschizza
15-07-2026, 10:03
Al di là del ragionamento generale è che il secure boot ha risolto molto poco per non dire quasi niente dei problemi ma introducendo rognette di vario genere.

Alla fine anche se sicuramente dire "come sempre" è sbagliato diciamo che è una tecnologia poco utile che rischia di creare problemi in misura maggiore a quelli che tenta di risolvere.

qualsiasi sistema di sicurazza informatico software o hardware è aggirabile, tutti, ma non vuol dire che allora gli togliamo tutti perche solo appensantiscono il software e lo sviluppo
anche la porta blindata la apri in pochi secondi o un paio di minuti ma questo non vuol dire che la gente non deve conprarla

Darkon
15-07-2026, 10:09
qualsiasi sistema di sicurazza informatico software o hardware è aggirabile, tutti, ma non vuol dire che allora gli togliamo tutti perche solo appensantiscono il software e lo sviluppo
anche la porta blindata la apri in pochi secondi o un paio di minuti ma questo non vuol dire che la gente non deve conprarla

Certo, ma il punto è che ci sono sistemi di sicurezza che fanno effettivamente la differenza e proteggono in maniera concreta e sistemi di sicurezza che lo sono solo in apparenza.

Per usare una metafora è come se mi dici che devi proteggere un edificio e allora ci costruisci un muro di 2 metri con filo spinato, oppure fai un recinto con lo spago da cucina a 30 cm da terra.

Il secure boot è spacciare per sicurezza uno spago a 30cm da terra. Non protegge quasi che nulla e spesso sono più i fastidi che crea che non la sicurezza che genera.

Quindi ribadisco ben venga la sicurezza se è roba concreta e veramente impattante. Se invece dev'essere roba di dubbia utilità che sposta poco e niente e anzi crea più problemi di quelli che risolve francamente se ne può anche fare a meno.

marcram
15-07-2026, 10:10
"Come sempre" indica che lo fa sempre cosa non vera tu leggi solo le notizie qunsdo si trova un problema che altera la tua percezionel. E come se dicessi che linux ha sempre problemi perche si fanno decine di fix al giorno, posso dire che è cosi? no non credo ma per te si in base al tuo ragionamento. Non funziona cosi l'informatica perche se fosse cosi si potrebbe dire che l'informatica in generale non funziona quasi mai.

Tutto questo ha un nome scientifico che è bias cognitivo.
No, non è bias cognitivo.
Finora Secure Boot ha protetto da pochi pericoli, creando invece moltissimi problemi nell'installare sistemi alternativi, e lasciando invece buchi di sicurezza come quello descritto nella notizia.

E' una sicurezza molto più grande nelle parole, di quello che è in realtà.

fabius21
15-07-2026, 10:12
Al di là del ragionamento generale è che il secure boot ha risolto molto poco per non dire quasi niente dei problemi ma introducendo rognette di vario genere.

Alla fine anche se sicuramente dire "come sempre" è sbagliato diciamo che è una tecnologia poco utile che rischia di creare problemi in misura maggiore a quelli che tenta di risolvere.

Dipende, io ad esempio lo trovo molto comodo per poter sbloccare i dischi criptati in sicurezza. Firmo il kernel col mio certificato e via.

ps. quelli non riservati riservati, per quest'ultimi preferisco inserirla manualmente.

Darkon
15-07-2026, 10:26
Dipende, io ad esempio lo trovo molto comodo per poter sbloccare i dischi criptati in sicurezza. Firmo il kernel col mio certificato e via.

ps. quelli non riservati riservati, per quest'ultimi preferisco inserirla manualmente.

Non discuto ma è un vantaggio alquanto minimo che ripeto non discuto a te ed altri possa tornare utile, ma che riguarda una sparutissima minoranza di utenti che anche solo sa di cosa si parla a fronte di una adozione di massa che ha poco senso specialmente nel mercato retail e che di fatto non sposta praticamente niente della sicurezza.

fabius21
15-07-2026, 10:34
Non discuto ma è un vantaggio alquanto minimo che ripeto non discuto a te ed altri possa tornare utile, ma che riguarda una sparutissima minoranza di utenti che anche solo sa di cosa si parla a fronte di una adozione di massa che ha poco senso specialmente nel mercato retail e che di fatto non sposta praticamente niente della sicurezza.

Si lo sò di tutte le problematiche che possono incappare. Era solo per spezzare una lancia a favore.
Anche se, pur usandolo non è che m'ispira fiducia pià di tanto.
Un pò come quando intel volevo usare il seriale del processore come identificativo per internet o qualcosa del genere. Parliamo dei P3 troppo tempo per ricordare che volesse fare.

Gringo [ITF]
15-07-2026, 10:53
Il punto fondamentale del Secure Boot (e in generale del paradigma del Trusted Computing con TPM) è che, all'atto pratico,
sposta il controllo della macchina dall'utente finale ai grandi vendor, senza però offrire una reale barriera contro gli attaccanti determinati.

Prima che si sollevi la solita obiezione teorica per cui "la sicurezza al 100% non esiste ma è sempre meglio di niente"
(argomento tanto banale quanto scontato).

Guardiamo i dati di fatto:

Se persino i sistemi con i Secure Boot più aggressivi, blindati e integrati a livello hardware nel silicio
come quelli di console (dalla PS3 in poi) e smartphone, vengono puntualmente bucati e bypassati,
figuriamoci quanto può essere efficace lo spago da cucina del Secure Boot sui PC retail,
dove la frammentazione dell'hardware rende tutto ancora più fragile.

Sull'hacker reale o statale, l'impatto è prossimo allo zero.
Un attaccante con risorse trova sempre la vulnerabilità nel firmware o nella catena di trust
(come dimostrano i continui leak di chiavi private e i bug UEFI).

Sul proprietario legittimo l'impatto è massimo.
Chi vuole installare un sistema operativo alternativo, personalizzare il bootloader o semplicemente avere
il controllo totale del ferro che ha pagato di tasca propria, si ritrova a dover saltare ostacoli artificiali.

Non si tratta di essere "contro la sicurezza", ma di riconoscere che queste tecnologie,
per come sono implementate oggi nel mercato consumer, finiscono per blindare la macchina contro il suo
stesso proprietario, molto più di quanto non la proteggano dalle minacce reali.

Saturn
15-07-2026, 11:05
Secure Boot.

Logicamente lo uso, ho aggiornati i certificati dove Microsoft non è arrivata in automatico e in generale fatto tutto quello che si doveva fare.

Ma sull'efficacia del sistema non è che sia molto fiducioso.

É una protezione in più, sicuramente migliore di quando eravamo con i bios vecchia maniera e mbr, ma niente di più.

Si per il resto confermo le varie rotture di zebbedei se nella stessa macchina deve convivere anche Linux.

supertigrotto
15-07-2026, 11:30
Quindi che si fa?
Con cosa lo sostituiamo?
Ho letto tutti i commenti e mi piacerebbe sapere quale sarebbe la vostra soluzione, così da capire come affrontereste questo problema.

Gringo [ITF]
15-07-2026, 11:35
Quindi che si fa?
Con cosa lo sostituiamo?
Ho letto tutti i commenti e mi piacerebbe sapere quale sarebbe la vostra soluzione, così da capire come affrontereste questo problema.

La soluzione più efficace?
Semplice: buttiamo tutto l'hardware attuale, passiamo in blocco alla piattaforma Microsoft Pluton e implementiamo lo Zero Trust assoluto a livello di silicio.

Nessun software eseguibile che non provenga da un repository blindato e approvato da un comitato centrale. Niente homebrew, niente patch amatoriali, niente controllo sul codice.
E Linux? Sacrificabile sull'altare della Sicurezza dell'Umanità! :D

Battute a parte, la verità è che il Secure Boot è e rimane una mezza ciofeca se non viene supportato da una manutenzione costante.
Per essere minimamente efficace, le chiavi di revoca andrebbero aggiornate costantemente.

Ma all'atto pratico sappiamo tutti come funziona: col cavolo che produttori come ASUS (o chiunque altro nel mercato retail) rilasciano aggiornamenti BIOS per le schede madri dopo due anni dall'uscita.

Il risultato reale?

Zero sicurezza contro le minacce nuove e un sacco di obsolescenza programmata in più per l'utente comune.

marcram
15-07-2026, 11:35
Quindi che si fa?
Con cosa lo sostituiamo?
Ho letto tutti i commenti e mi piacerebbe sapere quale sarebbe la vostra soluzione, così da capire come affrontereste questo problema.
Si può fare direttamente a meno, non l'ha detto il medico che sia necessario...

Saturn
15-07-2026, 11:40
Voglia fare il nostalgico !

Ma ve le ricordate le vecchie motherboard prima dell' UEFI ?

Eravamo "felici" e non lo sapevamo !

:sofico:

fabius21
15-07-2026, 11:50
Voglia fare il nostalgico !

Ma ve le ricordate le vecchie motherboard prima dell' UEFI ?

Eravamo "felici" e non lo sapevamo !

:sofico:

che tempi....

Ora devi stare attento anche che l'uefi non ti avvi installazioni di programmi del produttore.... Finchè non capisci che c'è un parametro da disabilitare nel bios.
Pensa a un utente normale, che ad ogni avvio si ritrova avviato il programma d'installazione, prima o poi per esasperazione lo installa......

Gringo [ITF]
15-07-2026, 11:54
Voglia fare il nostalgico !

Ma ve le ricordate le vecchie motherboard prima dell' UEFI ?

Eravamo "felici" e non lo sapevamo !

:sofico:

Ora devono mettere dei piccoli cartelli con scritto...

Attenzione non mettere le dita nei fori delle prese a muro :D

zappy
15-07-2026, 16:16
;49291609']...
Non si tratta di essere "contro la sicurezza", ma di riconoscere che queste tecnologie, per come sono implementate oggi nel mercato consumer, finiscono per blindare la macchina contro il suo stesso proprietario, molto più di quanto non la proteggano dalle minacce reali.

Quella era probabilmente l'esatta intenzione fin dall'inizio...

zappy
15-07-2026, 16:17
Voglia fare il nostalgico !

Ma ve le ricordate le vecchie motherboard prima dell' UEFI ?

Eravamo "felici" e non lo sapevamo !

:sofico:
Certo, è ancora la mia macchina tutti i giorni :p

Saturn
15-07-2026, 16:24
Il mio pc principale a casa pure.

Va troppo per bene per sostituirlo con il Ryzen "dormiente" con installazione clonata gemella.

Il mio attuale Xeon 5690 @4,4 ghz / 48 GB DDR3 - scalderà e consumerà come uno scaldabagno DELONGHI (+2 gradi nella stanzetta minimo) ma è partito con Windows 7 e oggi, dopo tutti gli upgrade, è ancora "rock solid" con la stessa installazione upgradata "a morte" fino a Windows 11, una scheggia !

Consuma è vero ma è del 2010, SEDICI ANNI di TIGNA ! :read:

zappy
15-07-2026, 16:35
Il mio pc principale a casa pure.

Va troppo per bene per sostituirlo con il Ryzen "dormiente" con installazione clonata gemella.

Il mio attuale Xeon 5690 @4,4 ghz / 48 GB DDR3 - scalderà e consumerà come uno scaldabagno DELONGHI (+2 gradi nella stanzetta minimo) ma è partito con Windows 7 e oggi, dopo tutti gli upgrade, è ancora "rock solid" con la stessa installazione upgradata "a morte" fino a Windows 11, una scheggia !

Consuma è vero ma è del 2010, SEDICI ANNI di TIGNA ! :read:
Idem. Ma 4GB di ram e va molto più veloce del tuo win11 :-p

Saturn
15-07-2026, 16:42
Idem. Ma 4GB di ram e va molto più veloce del tuo win11 :-p

Però se usi Windows XP stai barando !!!! :Prrr:

Scherzi a parte...

Partito con 12 GB nel 2010 e CPU i7 980.

Poi qualche anno dopo 24 GB e Xeon, dopo ancora nel 2020, 48 GB.

Allora praticamente le regalavano le DDR3, mi son detto, perchè no ?

Tecnicamente con lo Xeon 5690 potrei andare oltre di ECC, ma mi accontento...

:sofico:

randorama
15-07-2026, 16:43
Il mio pc principale a casa pure.

Va troppo per bene per sostituirlo con il Ryzen "dormiente" con installazione clonata gemella.

Il mio attuale Xeon 5690 @4,4 ghz / 48 GB DDR3 - scalderà e consumerà come uno scaldabagno DELONGHI (+2 gradi nella stanzetta minimo) ma è partito con Windows 7 e oggi, dopo tutti gli upgrade, è ancora "rock solid" con la stessa installazione upgradata "a morte" fino a Windows 11, una scheggia !

Consuma è vero ma è del 2010, SEDICI ANNI di TIGNA ! :read:


ci credi se ti dico che in garage ho un paio di pc più potenti di quello che ho in casa?

Saturn
15-07-2026, 16:50
ci credi se ti dico che in garage ho un paio di pc più potenti di quello che ho in casa?

Certo che si...e ti capisco benissimo.

Ma chi ha più foglia uscito dall'ufficio di mettersi a ritrafficare con i pc ?

Aspetto che mi abbandoni (il più tardi possibile) e poi semplicemente tolgo un case e ci metto l'altro, già pronto...

randorama
15-07-2026, 17:03
Certo che si...e ti capisco benissimo.

Ma chi ha più foglia uscito dall'ufficio di mettersi a ritrafficare con i pc ?

Aspetto che mi abbandoni (il più tardi possibile) e poi semplicemente tolgo un case e ci metto l'altro, già pronto...

più che altro è che uno è uno di quei cazzo di fujitsu siemens che puoi impostare il buon come ti pare; tanto quando riattacchi la corrente quello si riaccende; è una cosa che mi sta sulle balle a raffica.


l'altro monta delle DDR4. figurati se vado a investirci il capitale che serve per upgradarlo :D


diciamo che il pc nuovo si fa quando esce win12, va...

gabrieleromano
15-07-2026, 17:08
interessante (quanto preoccupante)

cmq l'articolo non cita se il kitboot rimane nel PC anche dopo la riscrittura del firmware bios... ma viene citato solo la formattazione e la sostituzione dell'unità di archiviazione

LL1
15-07-2026, 17:48
Quello che emerge, secondo me, è che è sempre più urgente revocare i (vecchi) certificati Microsoft UEFI CA 2011...