Secure-Boot-Zertifikate: 15 Jahre alte Microsoft-Schlüssel laufen aus
20.06.2026 - 16:54:02 | boerse-global.de
Die ursprünglichen Secure-Boot-Zertifikate aus dem Jahr 2011 erreichen diesen Monat ihr Ablaufdatum – eine Zäsur für die globale IT-Sicherheitsarchitektur.
Microsoft hat mit der Auslieferung neuer Secure-Boot-Zertifikate begonnen, die die seit 2011 verwendeten Schlüssel ersetzen. Die im Juni 2026 auslaufenden Zertifikate sind das Herzstück der sogenannten „Chain of Trust" – einer Sicherheitskette, bei der UEFI-Firmware, Bootloader, Kernel und Treiber nacheinander durch digitale Signaturen geprüft werden. Fällt ein Glied dieser Kette aus, können Angreifer bereits vor dem Betriebssystemstart Schadcode einschleusen.
Festplatte kaputt oder Windows streikt? So retten Sie Ihren PC mit einem Boot?Stick. Kostenloser Report erklärt Schritt für Schritt, wie Sie den Windows?11?USB?Stick erstellen und richtig einsetzen. Kostenlosen Sicherheits-Ratgeber herunterladen
Linux-Distributionen rüsten nach
Um die Kompatibilität zu wahren, aktualisieren wichtige Linux-Distributionen wie Ubuntu, Fedora und Debian ihre Shim-Bootloader. Diese Updates stellen sicher, dass Linux-Systeme weiterhin auf Hardware booten können, die Microsoft-signierte Schlüssel als primäre Vertrauensanker nutzt. Während Windows-Updates in der Regel automatisch erfolgen, können Nutzer den Zertifikatsstatus manuell in den Systemeinstellungen unter „Gerätesicherheit" überprüfen.
Die Erneuerung ist auch eine Reaktion auf die „LogoFail"-Sicherheitslücke, die Schwachstellen in der Verarbeitung von Bilddateien während des Bootvorgangs offenlegte.
Neue Bedrohungen für die Boot-Integrität
Parallel zum Zertifikatswechsel mehren sich die Angriffe auf die Boot-Sicherheit. Die seit März 2025 aktive Ransomware-as-a-Service-Gruppe „The Gentlemen" – die bereits über 500 Opfer gemeldet hat – setzt offenbar ein Framework namens „GentleKiller" ein. Das Tool kann 400 sicherheitsrelevante Prozesse beenden und nutzt die „Bring Your Own Vulnerable Driver"-Technik (BYOVD), bei der Angreifer legitime, aber unsichere Treiber einschleusen.
Zudem warnte CERT/CC vor einer Secure-Boot-Umgehung, die signierte UEFI-Anwendungen großer Hardwarehersteller wie Acer, AMD und ASUS ausnutzt. Diese Anwendungen können von Angreifern genutzt werden, um die standardmäßigen Sicherheitsprotokolle zu umgehen.
Linux-Kernel und Ubuntu unter Beschuss
Die Linux-Welt kämpft gleich mit mehreren Sicherheitsproblemen. Qualys-Forscher entdeckten eine lokale Rechteausweitung (LPE) in der Kernel-Funktion _ptracemay_access(). Die Race-Condition-Schwachstelle existiert seit November 2016 im Code und erlaubt unprivilegierten Nutzern, Root-Zugriff zu erlangen. Betroffen sind mehrere aktuelle und kommende Distributionen, darunter Debian 13, Ubuntu 24.04 und 26.04 sowie Fedora 43 und 44.
Für Ubuntu Desktop 24.04 und neuere Versionen wurde zudem die Schwachstelle CVE-2026-3888 veröffentlicht. Der Exploit nutzt einen Timing-Angriff auf systemd-tmpfiles und snap-confine. Durch die Ausnutzung einer Race-Condition bei der regelmäßigen Bereinigung temporärer Verzeichnisse können Angreifer Schadcode mit Root-Rechten ausführen. Patches für das snapd-Paket wurden bereits bereitgestellt.
Genervt von Windows-Fehlermeldungen und Zwangs-Updates? Das kostenlose Linux-Startpaket zeigt Schritt für Schritt, wie Sie Ubuntu parallel zu Windows installieren – ohne Risiko und ohne Datenverlust. Ubuntu Gratis-Startpaket jetzt sichern
Update-Probleme und Hardware-Neuerungen
Die Sicherheitsoffensive verläuft nicht reibungslos. Das Windows-11-Update KB5094126 verursachte im Juni 2026 Boot-Fehler, darunter Bluescreens (BSOD) und unerwartete BitLocker-Wiederherstellungsabfragen – besonders auf bestimmten Workstation-Modellen von HP und Dell. Auch Probleme beim Öffnen von Cloud-Dateien im Windows Explorer wurden gemeldet.
Im Hardware-Bereich wurde der Raspberry Pi Imager auf Version 2.0.10 aktualisiert. Die neue Version vom 19. Juni 2026 unterstützt die Secure-Boot-Neubereitstellung auf dem Compute Module 5 (CM5) und enthält einen speziellen Editor für Bootloader-Images.
Einen Rückschlag erlitt die Hardwaresicherheit durch den Exploit „usbliter8" vom 18. Juni 2026. Er zielt auf einen Hardware-Fehler im Synopsys-USB-Controller älterer Mobilgeräte-Chips ab. Da die Schwachstelle im SecureROM liegt, kann sie nicht per Software gepatcht werden – allerdings erfordert der Angriff physischen Zugriff und einen speziellen Geräte-Firmware-Update-Modus.
