---
title: "Microsoft 14 років не відкликає вразливі ключі: як хакери обходять захист Secure Boot у Windows та Linux"
description: "Експерти ESET розкрили вразливість у захисті Secure Boot: Microsoft 14 років не відкликає ключі для вразливих завантажувачів. Хакери можуть використовувати старі файли shim для обходу захисту UEFI у Windows та Linux. 🛑💻"
date: 2026-07-15T23:26:29.000Z
lang: uk
url: https://xab.info/uk/posts/microsoft-14-rokiv-ne-vidklikaye-vrazlivi-klyuchi-yak-hakery-obkhodyat-zakhyst-secure-boot-u-windows-ta-linux
tags: [microsoft, linux, secure-boot, eset, uefi]
publisher: "XAB.info"
---

# Microsoft 14 років не відкликає вразливі ключі: як хакери обходять захист Secure Boot у Windows та Linux

![Комп'ютер з червоною підсвіткою та кодом на екрані, що символізує зламування Secure Boot у Windows та Linux через вразливі ключі Microsoft](https://xab.info/media/2026/07/15/microsoft-14-let-ne-otzyvala-uyazvimye-klyuchi-kak-hakery-obkhodyat-zashchitu-secure-boot/microsoft-14-let-ne-otzyvala-uyazvimye-klyuchi-kak-hakery-obkhodyat-zashchitu-secure-boot-1.webp)

Технологія Secure Boot, призначена для захисту комп'ютерів від буткітів та шкідливих прошивок, виявилася вразливою через помилки в управлінні цифровими підписами. Експерти компанії ESET виявили, що Microsoft понад десятиліття не відкликає ключі підпису для критично важливих завантажувальних компонентів, що дозволяє зловмисникам обходити захист UEFI на комп'ютерах із Windows та Linux.

### Проблема з «прослойками» Shim

В основі вразливості лежать компоненти, відомі як shim («прослойки»). Вони необхідні для роботи механізму Secure Boot на системах Linux, оскільки Microsoft підписує лише свої завантажувачі, а дистрибутиви Linux потребують посередника для запуску. Експерти виявили 11 скомпрометованих екземплярів shim, які досі вважаються довіреними системою, попри наявність у них вразливостей.

Зловмисники можуть використовувати ці старі, але все ще «легальні» файли для впровадження шкідливого ПЗ на ранній стадії завантаження. Такий компонент запускається ще до самої операційної системи та продовжує працювати навіть після перевстановлення Windows або Linux чи заміни системного диска. Для атаки не потрібно шукати нову вразливість — достатньо копія старого бінарного файлу shim, який Microsoft досі не видалила з бази довірених підписів.

### Чому захист не спрацював

Механізм відкликання сертифікатів у UEFI реалізовано через дві бази даних: db (список дозволених) та dbx (список відкликаних). Однак через обмеження розміру бази dbx (всього 32 КБ), Microsoft не стала зберігати повні хеші заборонених файлів, а вирішила вказувати лише номери версій компонентів. Це призвело до появи механізму SBAT (Secure Boot Advanced Targeting), який дозволяє shim перевіряти версії завантажуваних компонентів та блокувати застарілі.

Проблема в тому, що багато з 11 виявлених вразливих shim були створені до впровадження SBAT або містять інші відомі діри в безпеці. Microsoft роками не додавала їх до бази відкликаних, і материнські плати продовжували вважати їх безпечними.

### Масштаб загрози та постраждалі

Загроза поширюється на широкий спектр пристроїв. Деякі з вразливих екземплярів використовувалися великими гравцями ринку, включаючи розробників дистрибутивів Red Hat, OpenSuse та Oracle Linux. Також у списку потенційно постраждалих опинилися розробники діагностичного ПЗ PC-Doctor та навіть організатори випускних іспитів у Фінляндії.

Рішення проблеми вже впроваджено в останніх оновленнях. Для Windows 11 патч вийшов лише у червні поточного року. Ситуація з Linux складніша через фрагментацію екосистеми: користувачам рекомендується звертатися до постачальників своїх дистрибутивів за оновленнями. Перевірити статус відкликаних shim можна за допомогою спеціального скрипта «uefi-dbx-audit».