Η Microsoft αντιμετώπισε μια ευπάθεια παράκαμψης κρίσιμης δυνατότητας ασφαλείας στα πιστοποιητικά ασφαλούς εκκίνησης των Windows, τα οποία παρακολουθούνται ως CVE-2026-21265, μέσω των ενημερώσεων του Ιανουαρίου 2026 στην ενημέρωση κώδικα Τρίτη.
Το ελάττωμα προέρχεται από τα πιστοποιητικά της εποχής του 2011 που λήγουν, τα οποία στηρίζουν την αλυσίδα εμπιστοσύνης του Secure Boot, επιτρέποντας δυνητικά στους εισβολείς να διαταράξουν την ακεραιότητα της εκκίνησης, εάν δεν επιδιορθωθούν.
Αξιολογήθηκε ως Σημαντικό με βασική βαθμολογία CVSS v3.1 6,4, το ζήτημα απαιτεί τοπική πρόσβαση, υψηλά προνόμια και υψηλή πολυπλοκότητα επίθεσης, καθιστώντας την εκμετάλλευση λιγότερο πιθανή.msrc.microsoft+4
Το CVE-2026-21265 προκύπτει επειδή τα πιστοποιητικά της Microsoft που είναι αποθηκευμένα στο UEFI KEK και στο DB πλησιάζουν σε ημερομηνίες λήξης στα μέσα του 2026, με κίνδυνο να αποτύχει η Ασφαλής εκκίνηση χωρίς ενημερώσεις.
Τα ελαττώματα υλικολογισμικού στον μηχανισμό ενημέρωσης πιστοποιητικών του λειτουργικού συστήματος μπορεί να διαταράξουν την αλυσίδα αξιοπιστίας, θέτοντας σε κίνδυνο το Windows Boot Manager και τους φορτωτές τρίτων κατασκευαστών. Δημόσια κοινοποίηση αλλά δεν έχει γίνει ακόμη εκμετάλλευση στη φύση, η Microsoft προτρέπει την άμεση ανάπτυξη των πιστοποιητικών αντικατάστασης του 2023.
Τρία βασικά πιστοποιητικά 2011 πρέπει να ανανεωθούν για να διατηρηθεί η ασφαλής εκκίνηση:
| Αρχή Πιστοποιητικών | Τοποθεσία | Σκοπός | Ημερομηνία λήξης |
|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | ΚΕΚ | Υπογράφει ενημερώσεις σε DB και DBX | 24/06/2026 |
| Microsoft Corporation UEFI CA 2011 | DB | Υπογράφει 3rd party boot loaders, Option ROM | 27/06/2026 |
| Microsoft Windows Production PCA 2011 | DB | Υπογράφει το Windows Boot Manager | 19/10/2026 |
Η αποτυχία ενημέρωσης εκθέτει τις συσκευές σε επιθέσεις χρόνου εκκίνησης, όπως σημειώνεται στη συμβουλή της Microsoft τον Νοέμβριο του 2025.
Συστήματα και ενημερώσεις κώδικα που επηρεάζονται
Οι ενημερώσεις κώδικα στοχεύουν παλαιού τύπου Windows Server και εκδόσεις εκτεταμένης υποστήριξης, όλες επισημασμένες ως απαιτούμενες ενέργειες πελάτη.
| Προϊόν | Άρθρο KB | Αριθμός κατασκευής | Τύπος ενημέρωσης |
|---|---|---|---|
| Windows Server 2012 R2 (Core) | 5073696 | 6.3.9600.22968 | Μηνιαία συνάθροιση |
| Windows Server 2012 R2 | 5073696 | 6.3.9600.22968 | Μηνιαία συνάθροιση |
| Windows Server 2012 (Core) | 5073698 | 6.2.9200.25868 | Μηνιαία συνάθροιση |
| Windows Server 2012 | 5073698 | 6.2.9200.25868 | Μηνιαία συνάθροιση |
| Windows Server 2016 (Core) | 5073722 | 10.0.14393.8783 | Ενημέρωση ασφαλείας |
| Windows Server 2016 | 5073722 | 10.0.14393.8783 | Ενημέρωση ασφαλείας |
| Windows 10 Έκδοση 1607 x64 | 5073722 | 10.0.14393.8783 | Ενημέρωση ασφαλείας |
| Windows 10 Έκδοση 1607 x86 | 5073722 | 10.0.14393.8783 | Ενημέρωση ασφαλείας |
Οργανισμοί με διαχείριση IT ή διαχείριση Microsoft ενημερώσεις πρέπει να δοθεί προτεραιότητα στην ανάπτυξη. Επαληθεύστε τη συμβατότητα υλικολογισμικού για να αποφύγετε προβλήματα εκκίνησης μετά την ενημέρωση κώδικα.
