UEFI jede v protected mode, zavedenému modulu se předává řízení na CPL=0. Pochybuji, že by pak bootloader (grub) po zavedení linuxového jádra přepínal zpět do real mode. Navíc update microcode se dá udělat i za běhu ( https://software.intel.com/security-software-guidance/secure-coding/loading-microcode-os ).