JBNews.id — Tiga sertifikat digital yang menjadi fondasi keamanan Secure Boot pada jutaan komputer Windows dan Linux akan kedaluwarsa mulai 24 Juni 2026. Kedaluwarsa ini berpotensi membuat perangkat yang tidak diperbarui rentan terhadap serangan siber tingkat tinggi, khususnya UEFI bootkit.
Sertifikat bertanda tangan Microsoft ini merupakan pilar utama Secure Boot, sebuah rantai kepercayaan (chain of trust) yang dirancang untuk memverifikasi tanda tangan digital setiap firmware dan perangkat lunak yang dimuat saat sistem melakukan booting. Secure Boot memeriksa semua firmware yang dimuat saat startup untuk memastikan firmware tersebut berasal dari penyedia tepercaya, seperti produsen motherboard.
Fungsi utama Secure Boot adalah menggagalkan UEFI bootkit, yaitu bentuk malware yang mengubah Unified Extensible Firmware Interface (UEFI), penerus BIOS yang memulai urutan boot awal. Karena bootkit dimuat sebelum sistem operasi dan sebagian besar kode lainnya, malware ini sulit dideteksi. Setelah terinstal, bootkit biasanya memuat malware ke sistem operasi yang mencuri kredensial, membuka pintu belakang sistem, atau melakukan tindakan jahat lainnya. Bahkan ketika sistem operasi dibersihkan, bootkit dapat menginfeksi ulang sistem dan bertahan dari instalasi ulang sistem operasi.
Sejarah Ancaman UEFI Bootkit
Asal-usul bootkit dapat ditelusuri kembali ke awal 1980-an dengan penciptaan beberapa malware yang menargetkan mesin Apple II selama proses boot. Malware ini menyebar melalui disket yang berisi game bajakan. Bootkit Windows mulai mendapat perhatian pada awal 2000-an sebagai proof of concept yang dikembangkan oleh peneliti keamanan ofensif.
BootRoot, sebuah bootkit yang didemonstrasikan di konferensi keamanan Black Hat 2005, kemungkinan merupakan contoh pertama. Malware ini menginfeksi Network Driver Interface yang menyederhanakan komunikasi antar driver protokol jaringan. Pada tahun-tahun berikutnya, proof of concept serupa termasuk Vbootkit, Stoned Bootkit, dan Mebroot.
Pada 2012, bentuk bootkit baru didemonstrasikan dengan menyerang sistem Mac OS X melalui infeksi EFI. Sekitar 2013, seorang peneliti mendemonstrasikan bootkit UEFI yang lebih canggih untuk Windows bernama Dreamboat. Kasus pertama serangan dunia nyata yang menargetkan UEFI ditemukan pada 2018 dengan malware bernama LoJax, yang diciptakan oleh kelompok peretas yang didukung Kremlin yang dikenal sebagai Fancy Bear atau APT 28.
Pada 2020, peneliti menemukan kasus kedua malware dunia nyata yang menyerang UEFI. Setiap kali perangkat terinfeksi melakukan reboot, UEFI-nya memeriksa apakah file berbahaya ada di folder startup Windows dan jika tidak, menginstalnya. Peneliti dari Kaspersky menamai malware ini “MosaicRegressor.” Sejak itu, sejumlah bootkit UEFI baru terungkap dengan nama seperti ESpecter, FinSpy, dan MoonBounce.
Pembaruan Sertifikat Pasca LogoFail
Menanggapi ancaman UEFI bootkit yang semakin mengerikan, Microsoft bekerja sama dengan produsen perangkat untuk mengembangkan Secure Boot. Standar industri ini menggunakan tanda tangan kriptografi untuk memastikan setiap firmware yang dimuat selama startup dipercaya oleh pabrikan komputer. Secure Boot dirancang untuk menciptakan rantai kepercayaan yang mencegah penyerang mengganti firmware bootup yang sah dengan firmware berbahaya. Jika satu tautan dalam rantai startup tidak dikenali, Secure Boot akan mencegah perangkat menyala.
Kemudian pada 2023, peneliti menemukan LogoFail, serangkaian kerentanan kritis pada UEFI yang mem-boot hampir semua sistem Windows dan Linux di dunia. Bug penguraian gambar pada perangkat lunak yang menampilkan logo pabrikan perangkat keras saat bootup memungkinkan penyerang melewati Secure Boot dan menginfeksi UEFI dengan firmware berbahaya.
Penemuan LogoFail memaksa Microsoft mengganti tanda tangan kriptografi yang mendasari Secure Boot dengan yang baru. Tiga tanda tangan lama yang bertanggal 2011 akan dihapus dan digantikan dengan tanda tangan bertanggal 2023. Microsoft sedang dalam proses memperbarui mesin Windows 10 dan Windows 11. Distributor Linux juga sedang memperbarui “shims,” yaitu bootloader UEFI tahap pertama kecil yang bertindak sebagai jembatan tepercaya antara kunci Secure Boot dan bootloader Linux.
Baca Juga:
Implikasi dan Langkah yang Diperlukan
Mesin yang gagal memperbarui kunci terkait Secure Boot akan tetap berfungsi, tetapi tidak lagi terlindungi dari ancaman UEFI baru. Perangkat tersebut sebenarnya sudah rentan terhadap ancaman UEFI baru yang mengeksploitasi kerentanan LogoFail di seluruh industri. Pembaruan kunci ini dirancang untuk mengurangi risiko tersebut dan mencegah serangan UEFI lain yang mungkin muncul di masa depan.
Untuk memeriksa status kunci pada mesin Windows, pengguna dapat membuka pengaturan Windows Security > Device Security > Secure Boot. Tanda centang hijau berarti pembaruan telah selesai. Sebagian besar mesin Windows secara otomatis memperbarui kunci selama distribusi patch bulanan rutin, tetapi mesin yang lebih lama mungkin memerlukan perhatian manual. Pengguna Linux harus memantau rilis shims baru.
Microsoft merekomendasikan pengguna untuk selalu memperbarui firmware karena terkadang diperlukan agar sertifikat Secure Boot dapat diperbarui dengan lancar. Ancaman keamanan siber seperti ini juga menjadi perhatian di berbagai sektor, termasuk upaya Riset AI Cegah Serangan Siber di infrastruktur penting.
Kedaluwarsa sertifikat ini terjadi di tengah meningkatnya kesadaran akan keamanan digital. Platform digital juga terus berbenah, seperti yang terlihat dari langkah Roblox Uji Coba Verifikasi Usia Wajah untuk melindungi pengguna anak.
Bagi pengguna, implikasi praktis dari pembaruan ini jelas: perangkat yang tidak diperbarui akan kehilangan perlindungan terhadap ancaman siber yang sangat berbahaya. Serangan UEFI bootkit dapat mencuri kredensial, memasang pintu belakang, dan bertahan dari instalasi ulang sistem operasi. Oleh karena itu, memastikan pembaruan kunci Secure Boot selesai sebelum 24 Juni 2026 menjadi langkah krusial untuk menjaga keamanan perangkat.