CVE-2026-8863: Уязвимость в Secure Boot, превратившая старые загрузчики Microsoft в оружие хакеров

То, что уязвимые загрузчики до сих пор встречаются на практике, — результат действий производителей оборудования и ПО, которые в свое время «форкнули» (сделали собственное ответвление) проект shim для своих продуктов, но так и не обновили их. Компания Positive Technologies выявила ряд пострадавших продуктов, включая WhiteCanyon WipeDrive, Baramundi Management Suite, PC-Doctor Service Center и финскую экзаменационную систему Abitti . Эти сторонние инструменты устанавливали свои устаревшие, подписанные Microsoft shim-загрузчики в системный раздел EFI, создавая постоянный «черный ход» на машинах, даже если основная ОС была полностью пропатчена .

Техника атаки: «Принеси свой уязвимый драйвер» для загрузчиков

Эксплуатация CVE-2026-8863 — это не удаленная атака, не требующая аутентификации. Злоумышленнику необходимо сначала получить права администратора или возможность модифицировать процесс загрузки целевой машины . Получив такой доступ, он применяет технику, аналогичную методу «Принеси свой уязвимый драйвер» (Bring Your Own Vulnerable Driver, BYOVD). Только вместо драйвера уровня ядра используется один из уязвимых, но легитимно подписанных Microsoft shim-загрузчиков, который помещается на путь загрузки.

Когда система стартует с включенным Secure Boot, прошивка UEFI проверяет цифровую подпись shim, находит ее действительной (так как она подписана доверенным сертификатом Microsoft UEFI CA 2011) и запускает его . После этого атакующий может использовать устаревший shim для отклонения процесса загрузки и загрузки вредоносной полезной нагрузки до того, как Windows или любое защитное ПО будет инициализировано. Это дает ему полный контроль над системой на самом раннем этапе ее работы — состояние, известное как выполнение произвольного кода до загрузки ОС .

Риски: неуловимый и живучий буткит

Возможность выполнения кода до старта ОС напрямую соответствует технике MITRE ATT&CK T1542.003 — Pre-OS Boot: Bootkit . Буткит — это разновидность вредоносного ПО, работающая под уровнем ОС. Он обеспечивает скрытный механизм сохранения присутствия в системе, который переживает переустановку ОС и способен обходить большинство традиционных антивирусных программ .

Успешная атака через CVE-2026-8863 может позволить злоумышленнику отключить BitLocker, внедрить вредоносный код в ядро ОС или создать постоянный «черный ход», активирующийся при каждом запуске системы. Устранение инфекции буткита — чрезвычайно сложная задача, которая часто требует полной перепрошивки системной прошивки. Это делает данную уязвимость объектом повышенного внимания для служб безопасности предприятий, несмотря на необходимость локального доступа для её эксплуатации. В оценке Rapid7 уязвимость имеет базовую оценку 7.8 по шкале CVSS v3.1, и ее эксплуатация отнесена к категории «Менее вероятной», однако техническое влияние на конфиденциальность, целостность и доступность оценивается как высокое .

Продолжение истории проблем с доверием к UEFI

CVE-2026-8863 — не единичный инцидент, а очередная глава в продолжающейся битве за безопасность процесса загрузки UEFI. Этот случай перекликается с уязвимостью 2020 года «BootHole» (CVE-2020-10713) в GRUB2, которая также позволяла обойти Secure Boot и для исправления которой потребовалось масштабное обновление DBX . Схожие цели — получение предзагрузочного закрепления в системе — преследовал и буткит «BlackLotus», эксплуатировавший уязвимость в загрузчике Windows .

Ситуация усугубляется еще и тем, что одновременно истекал срок действия ключевого сертификата. Сертификат Microsoft Corporation UEFI CA 2011, которым были подписаны уязвимые shim и бесчисленное множество других сторонних загрузочных компонентов, должен был истечь 27 июня 2026 года . Microsoft уже подталкивала всю экосистему к переходу на новые сертификаты 2023 года. Эта сложная операция у многих организаций все еще была в процессе выполнения на момент раскрытия CVE-2026-8863 .

Как исправить и меры предосторожности для предприятий

Исправление CVE-2026-8863 — это не простой патч через Центр обновления Windows. Ключевой механизм защиты — обновление базы данных запрещенных сигнатур UEFI (DBX), которое добавляет криптографические хеши уязвимых shim-загрузчиков в список отзыва прошивки. После применения этого обновления прошивка UEFI откажется выполнять эти загрузчики, несмотря на их действительные подписи .

Для ИТ-специалистов и служб безопасности предприятий развертывание обновления DBX требует тщательного планирования:

1. Сначала протестируйте обновление DBX на пилотной группе. Разверните обновление в непродуктивной среде, чтобы убедиться, что блокировка старых shim не сделает незагружаемыми какие-либо критически важные системы, особенно те, которые могут скрыто использовать уязвимый сторонний загрузчик .
2. Проведите аудит сторонних загрузчиков. Используйте инструменты инвентаризации для сканирования системных разделов EFI на наличие конкретных уязвимых загрузчиков. Сверьте найденное со списком продуктов от Positive Technologies, включая средства для полного удаления данных, управления системами и аппаратной диагностики .
3. Проверьте системы с двойной загрузкой и Linux. Системы с двойной загрузкой Windows и Linux, особенно использующие старые версии дистрибутивов, подвержены высокому риску блокировки после обновления DBX. Перед принудительным применением отзыва убедитесь, что все установленные дистрибутивы Linux переведены на актуальный, неуязвимый shim-загрузчик .
4. Свяжитесь с поставщиками ПО. Если вы обнаружили уязвимые загрузчики (например, от WhiteCanyon или Baramundi), обратитесь к их поставщикам для получения обновленных, совместимых с Secure Boot версий их инструментов, прежде чем блокировать старые .
5. Подготовьтесь к запросу ключа восстановления BitLocker. Любое изменение конфигурации Secure Boot может вызвать запрос ключа восстановления BitLocker. Перед развертыванием обновления DBX убедитесь, что все ключи восстановления сохранены в резервной копии и доступны службе поддержки, чтобы избежать массовой блокировки.
6. Применяйте поэтапное развертывание. Используйте phased deployment: начните с ИТ-отдела, затем перейдите к пилотной группе пользователей и только потом начинайте широкое развертывание, отслеживая на каждом этапе проблемы с загрузкой.

Уязвимость CVE-2026-8863 служит серьезным напоминанием о том, что защита Secure Boot сильна ровно настолько, насколько сильна экосистема подписанного стороннего кода, которому она доверяет. Бдительный аудит предзагрузочной среды и оперативное применение DBX-отзывов теперь являются неотъемлемой и постоянной задачей для обеспечения целостности платформы.