Nadchodzi wtorek poprawek z 9 czerwca, zbliża się termin Secure Boot

Wtorkowa poprawka Microsoftu z 9 czerwca już za kilka dni, a jej znaczenie jest większe niż w przypadku jakiejkolwiek rutynowej comiesięcznej aktualizacji. Jest to ostatnie ustrukturyzowane okno wdrażania, zanim certyfikaty Secure Boot z 2011 roku zaczną wygasać 24 czerwca, pozostawiając każde niezaktualizowane urządzenie w stanie obniżonego bezpieczeństwa rozruchu od tej daty.

Okno wygaśnięcia certyfikatu trwa od 24 do 27 czerwca. Microsoft Corporation KEK CA 2011 wygasa 24 czerwca, Microsoft UEFI CA 2011 wygasa 27 czerwca, a Microsoft Windows Production PCA 2011 w październiku. Urządzenia, które nie otrzymały certyfikatów zastępczych 2023 przed 24 czerwca, nie przestaną działać, ale utracą możliwość otrzymywania przyszłych zabezpieczeń na poziomie rozruchu, w tym aktualizacji Menedżera rozruchu systemu Windows, list odwołań Secure Boot oraz poprawki dla nowo odkrytych luk w zabezpieczeniach łańcucha rozruchowego.

Dlaczego 9 czerwca nie jest rutynową aktualizacją

Microsoft wdraża certyfikaty zastępcze 2023 od lutego 2026 r. poprzez aktualizacje zbiorcze, z Patch Tuesday z 12 maja przyspieszył to wdrożenie. Organizacje, które opóźniły majowe wdrożenie, stoją teraz w obliczu skompresowanego okna. Przerwa między 9 czerwca a datą wygaśnięcia 24 czerwca wynosi 15 dni. Dla zespołów korporacyjnych zarządzających dużymi flotami urządzeń nie jest to wygodny okres.

Analitycy ds. bezpieczeństwa wyraźnie zaznaczyli presję. Decyzja o odroczeniu majowego wdrożenia do czerwca zmniejszyła dostępne okno o ponad 60 procent. Każda organizacja zakładająca, że 9 czerwca przywróci normalny harmonogram wdrażania, jest w błędzie. 9 czerwca to sytuacja awaryjna dla zespołów, które przegapiły maj.

Co należy zrobić przed 9 czerwca i bezpośrednio po nim

Przed 9 czerwca administratorzy IT powinni uruchomić następujące polecenie PowerShell z uprawnieniami administratora, aby sprawdzić status certyfikatu na dowolnym urządzeniu: Get-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetControlSecureBootServicing" -Name UEFICA2023Status

Oczekiwanym wynikiem migracji opartej na systemie operacyjnym jest "Completed" Co najważniejsze, status "NotStarted" nie jest automatyczną porażką; często wskazuje, że urządzenie jest już bezpieczne, ponieważ producent OEM wstrzyknął certyfikaty 2023 natywnie poprzez niedawną aktualizację BIOS-u. Prawdziwe czerwone flagi, na które należy polować, to status "Failed" lub kody szesnastkowe wypełnione w sąsiednim kluczu UEFICA2023Error. Wszystko, co trafi na te stany awarii po wdrożeniu 9 czerwca, wymaga natychmiastowej, ręcznej naprawy.

Urządzenia z systemem Windows Server 2025 z określonymi konfiguracjami zasad grupy BitLocker wymagają szczególnej ostrożności. Błąd przywracania rozruchu do funkcji BitLocker powstał w cyklu aktualizacji z kwietnia 2026 roku. Majowa aktualizacja rozwiązała go dla Windows 11, ale poprawka dla Windows Server 2025 pozostaje w toku, a zachowanie jest niestabilne w niektórych konfiguracjach. Środowiska Server 2025 powinny ukończyć testowe wdrożenie przed wprowadzeniem aktualizacji z 9 czerwca w całej flocie.

Oczekuje się również, że 9 czerwca zajmie się lukami w zabezpieczeniach wykrytymi od wydania z 12 maja, w tym wszelkimi, które zostały aktywnie wykorzystane w tygodniach między cyklami. The Luka Netlogon CVE-2026-41089zgłoszona jako aktywnie wykorzystywana przez belgijskie Centrum Cyberbezpieczeństwa 29 maja, została już załatana w majowej aktualizacji. Wszystkie urządzenia, które nie zastosowały tej poprawki, powinny traktować 9 czerwca jako wdrożenie o podwójnym priorytecie.

Październikowy termin jest następny

Zakończenie procesu Przejście certyfikatu Secure Boot przed 24 czerwca zamyka najpilniejsze okno, ale nie jest końcem procesu. Certyfikat Microsoft Windows Production PCA 2011, który podpisuje sam program rozruchowy systemu Windows, wygasa w październiku 2026 roku. Jest to najbardziej znaczący strukturalnie z trzech wygaśnięć i ten, który niesie ze sobą największe długoterminowe ryzyko integralności rozruchu dla urządzeń, które go przegapią.

Patch Tuesday z 9 czerwca ma zostać wydany o godzinie 10:00 czasu PST.