En el Patch Tuesday de gener de 2026, Microsoft va divulgar CVE-2026-21265, una vulnerabilitat de bypass de característica de seguretat (security feature bypass) a Windows Secure Boot amb una puntuació CVSS de 6.4 i severitat qualificada com a Important. No es tracta d’un error de codi clàssic, sinó d’un problema de gestió del cicle de vida criptogràfic: els certificats de Microsoft emmagatzemats al firmware UEFI estan arribant a la seva data de caducitat.
Què és exactament
Secure Boot és el mecanisme d’UEFI que garanteix que, durant l’arrencada, només s’executi programari signat per una autoritat de confiança. Aquesta confiança s’ancora en certificats de Microsoft emmagatzemats en dues bases del firmware: la KEK (Key Enrollment Key) i la DB (Signature Database). Els certificats emesos el 2011 que sostenen aquest esquema estan caducant el 2026:
- Microsoft Corporation KEK CA 2011: 24 de juny de 2026
- Microsoft Corporation UEFI CA 2011: 27 de juny de 2026
- Microsoft Windows Production PCA 2011: 19 d’octubre de 2026
Quan aquests certificats caduquen sense haver estat renovats, el sistema deixa de rebre actualitzacions crítiques de Secure Boot, com ara noves llistes de revocació (DBX) i mitigacions del gestor d’arrencada. Un equip en aquest estat queda en més risc que se li eludeixi la cadena d’arrencada segura, per exemple carregant un bootloader maliciós que normalment seria rebutjat.
A qui afecta
Afecta sistemes Windows 10, Windows 11 i Windows Server que facin servir Secure Boot amb els certificats de Microsoft del 2011, és a dir, pràcticament tot el parc d’equips moderns. El problema és especialment rellevant en màquines virtuals i dispositius gestionats que depenguin de la cadena de confiança UEFI. Encara que el sistema afectat és Windows, convé recordar que moltes distribucions de Linux arrenquen mitjançant un shim signat sota la Microsoft UEFI CA 2011, de manera que aquesta transició de certificats també és rellevant en entorns d’arrencada dual.
Gravetat i estat d’explotació
Microsoft va classificar la vulnerabilitat com a Publicly Disclosed (divulgada públicament), perquè les dates de caducitat dels certificats són informació pública, però la va valorar com a Exploitation Less Likely (explotació menys probable) i no consta explotació activa. La gravetat real és mitjana: no permet per si sola execució de codi, però degrada una protecció fonamental contra rootkits i bootkits.
Mitigació i pegat
L’actualització de gener de 2026 estableix les bases per resoldre el problema desplegant els nous certificats del 2023, que substitueixen els del 2011:
- Microsoft Corporation KEK 2K CA 2023 s’afegeix a la KEK.
- Microsoft UEFI CA 2023 i Microsoft Option ROM UEFI CA 2023 s’afegeixen a la DB.
Recomanacions pràctiques:
- Aplicar les actualitzacions acumulatives de 2026 com més aviat millor; els certificats i la tasca de servei que els instal·la es distribueixen a través de les acumulatives (típicament de maig o juny de 2026).
- Verificar que el procés d’actualització de certificats es completi correctament, especialment en màquines virtuals, on s’han reportat errors.
- Per a administradors de flota, seguir el playbook oficial de Microsoft per a la transició de certificats de Secure Boot el 2026 abans de les dates de caducitat.
Si gestiones arrencada segura juntament amb controls de seguretat del sistema, et pot interessar la nostra guia sobre SELinux i AppArmor per reforçar la postura de seguretat més enllà del firmware. Consulta també la nostra fitxa de Windows Desktop.