Преди няколко дни, Microsoft пусна "актуализация на защитата" което уж е имало цел "адресиране на двегодишна уязвимост в GRUB », но далеч не беше полезна, актуализацията причини няколко значителни проблема на системи с двойно зареждане, работещи с Windows и Linux, и като такъв е довел до прекъсване на зареждането на Linux системи когато защитеното зареждане е активирано.
Уязвимост което се предлага да бъде адресирано с тази актуализация е CVE-2022 2601- в GRUB2, тази уязвимост позволява на нападателите да заобиколят защитените защити при зареждане. В отговор Microsoft реши да блокира Linux зареждащи програми, които не са били коригирани срещу тази уязвимост, което може да попречи на Linux системите да се зареждат заедно с Windows в конфигурации с двойно зареждане.
„Уязвимостта, свързана с този CVE, се намира в GRUB2, зареждащата програма за зареждане на Linux, която е предназначена да поддържа защитено зареждане на Linux системи“, отбелязва Microsoft в публикуван съвет за справяне с проблема. „Този факт е документиран в Ръководството за актуализация на защитата, което гласи, че по-новите версии на Windows вече не са уязвими за заобикаляне на тази мярка за сигурност с помощта на Linux GRUB2 буутлоудъра. Стойността SBAT не се прилага за системи с двойно зареждане, работещи както с Windows, така и с Linux, и следователно не трябва да засяга тези системи.
Относно проблема
Двойното зареждане, което позволява на потребителите да инсталират и избират между две операционни системи на един компютър, беше отрицателно повлияно от тази актуализация. По-специално, на Linux системи, използващи GRUB като мениджър за стартиранеи са активирали Secure Boot са имали сривове след актуализацията.
Актуализации на Windows внедри нова SBAT политика (UEFI Secure Boot Advanced Targeting), предназначени да блокират зареждащи програми от Линуx, които не са актуализирани за справяне с уязвимостта CVE-2022-2601 в GRUB2. Проблемът се проявява със съобщение за грешка, което показва
«Грешка при проверка на SBAT данните: нарушение на правилата за сигурност. „Нещо се обърка: самотестът на SBAT се провали: нарушение на правилата за сигурност.“
Механизмът SBAT, разработен от Red Hat и Microsoft, е проектиран да блокира уязвимостите в GRUB буутлоудъра, без да е необходимо да отменяте цифровия подпис. SBAT добавя метаданни към изпълними файлове на UEFI компонент, които са сертифицирани с цифров подпис и се използват за управление на списъци с разрешени или забранени компоненти в UEFI Secure Boot. Тази система позволява конкретни версии на компоненти да бъдат заключени, без да се анулират цели ключове, за разлика от предишния метод, който изискваше актуализиране на списъци с анулирани UEFI сертификати (dbx).
Настоящият проблем изглежда е резултат от липса на тестване от страна на Microsoft. преди прилагането на корекцията, както и липсата на актуализация в някои GRUB буутлоудъри от разработчиците на Linux дистрибуции. Публикуван е превод на подробния анализ на проблема на Матю Гарет, който подчертава, че както Microsoft, така и някои Linux разработчици носят отговорност в тази ситуация.
Относно инцидента Microsoft излезе само с изявление:
„Тази актуализация не се прилага, когато бъде открита опция за зареждане на Linux. Ние обаче сме наясно, че някои сценарии с двойно зареждане причиняват проблеми на някои потребители, особено когато се използват остарели програми за зареждане на Linux, които съдържат уязвим код. „Ние работим с нашите Linux партньори, за да проучим и разрешим този проблем.“
За тези, които изпитват проблема, се препоръчва да опитате да деактивирате защитеното зареждане във вашия BIOS/UEFI като временно решение, въпреки че това може да компрометира сигурността на системата.
Друго решение е да премахнете SBAT данните, инсталирани в UEFI, да инсталирате нова дистрибуция на Linux с подходяща поддръжка за защитено зареждане на UEFI (като Ubuntu), да изпълните командата mokutil --set-sbat-policy за да премахнете политиката SBAT и след това да активирате отново защитеното зареждане.
Актуализирано: Ако смятате, че Microsoft е пуснала актуализацията с лоши намерения, Матю Гарет идва да обясни Кой е отговорен за срива при двойно зареждане?