Μερικές μέρες πριν, Η Microsoft κυκλοφόρησε μια "ενημέρωση ασφαλείας" που υποτίθεται ότι είχε σκοπό"αντιμετώπιση μιας ευπάθειας δύο ετών στο GRUB », αλλά όχι πολύ χρήσιμη, η ενημέρωση προκάλεσε αρκετά σημαντικά προβλήματα σε συστήματα διπλής εκκίνησης με Windows και Linux, και ως εκ τούτου είχε ως αποτέλεσμα τη διακοπή της εκκίνησης σε συστήματα Linux όταν είναι ενεργοποιημένη η ασφαλής εκκίνηση.
Τρωτό που προτείνεται να αντιμετωπιστεί με αυτήν την ενημέρωση είναι το CVE-2022-2601 στο GRUB2, αυτή η ευπάθεια επιτρέπει στους εισβολείς να παρακάμπτουν τις ασφαλείς προστασίες εκκίνησης. Σε απάντηση, η Microsoft αποφάσισε να αποκλείσει τους φορτωτές εκκίνησης Linux που δεν έχουν διορθωθεί έναντι αυτής της ευπάθειας, γεγονός που θα μπορούσε να αποτρέψει την εκκίνηση συστημάτων Linux παράλληλα με τα Windows σε διαμορφώσεις διπλής εκκίνησης.
"Η ευπάθεια που σχετίζεται με αυτό το CVE βρίσκεται στο GRUB2, το πρόγραμμα φόρτωσης εκκίνησης Linux που έχει σχεδιαστεί για να υποστηρίζει ασφαλή εκκίνηση σε συστήματα Linux", σημειώνει η Microsoft σε μια συμβουλευτική που δημοσιεύτηκε για την αντιμετώπιση του ζητήματος. "Αυτό το γεγονός τεκμηριώνεται στον Οδηγό ενημέρωσης ασφαλείας, ο οποίος δηλώνει ότι οι νεότερες εκδόσεις των Windows δεν είναι πλέον ευάλωτες στην παράκαμψη αυτού του μέτρου ασφαλείας χρησιμοποιώντας το πρόγραμμα εκκίνησης Linux GRUB2. Η τιμή SBAT δεν ισχύει για συστήματα διπλής εκκίνησης με Windows και Linux και επομένως δεν πρέπει να επηρεάζει αυτά τα συστήματα.
Σχετικά με το πρόβλημα
Η διπλή εκκίνηση, η οποία επιτρέπει στους χρήστες να εγκαταστήσουν και να επιλέξουν μεταξύ δύο λειτουργικών συστημάτων σε έναν μόνο υπολογιστή, έχει επηρεαστεί αρνητικά από αυτήν την ενημέρωση. Ειδικότερα, το Συστήματα Linux που χρησιμοποιούν GRUB ως διαχειριστής εκκίνησηςκαι έχετε ενεργοποιημένη την Ασφαλή εκκίνηση, έχετε αντιμετωπίσει σφάλματα μετά την ενημέρωση.
Ενημερώσεις σε Τα Windows έχουν εφαρμόσει μια νέα πολιτική SBAT (UEFI Secure Boot Advanced Targeting), έχει σχεδιαστεί για να μπλοκάρει τους bootloaders από τον Linux που δεν έχουν ενημερωθεί για την αντιμετώπιση της ευπάθειας CVE-2022-2601 στο GRUB2. Το πρόβλημα εκδηλώνεται με ένα μήνυμα σφάλματος που υποδεικνύει
«Σφάλμα κατά την επαλήθευση δεδομένων SBAT: παράβαση πολιτικής ασφαλείας. "Κάτι πήγε πολύ στραβά: ο αυτοέλεγχος SBAT απέτυχε: παράβαση πολιτικής ασφαλείας."
Ο μηχανισμός SBAT, που αναπτύχθηκε από τη Red Hat και τη Microsoft, σχεδιάστηκε για να μπλοκάρει τις ευπάθειες στο πρόγραμμα εκκίνησης GRUB χωρίς να χρειάζεται να ανακληθεί η ψηφιακή υπογραφή. Το SBAT προσθέτει μεταδεδομένα σε εκτελέσιμα στοιχεία UEFI, τα οποία είναι πιστοποιημένα με ψηφιακή υπογραφή και χρησιμοποιούνται για τη διαχείριση λιστών επιτρεπόμενων ή απαγορευμένων στοιχείων στο UEFI Secure Boot. Αυτό το σύστημα επιτρέπει το κλείδωμα συγκεκριμένων εκδόσεων στοιχείων χωρίς ανάκληση ολόκληρων κλειδιών, σε αντίθεση με την προηγούμενη μέθοδο που απαιτούσε την ενημέρωση των λιστών ανάκλησης πιστοποιητικών UEFI (dbx).
Το τρέχον ζήτημα φαίνεται να είναι αποτέλεσμα έλλειψης δοκιμών εκ μέρους της Microsoft. πριν από την υλοποίηση του patch, καθώς και την έλλειψη ενημέρωσης σε ορισμένους bootloaders GRUB από τους προγραμματιστές διανομών Linux. Δημοσιεύτηκε μια μετάφραση της λεπτομερούς ανάλυσης του Matthew Garrett για το πρόβλημα, η οποία υπογραμμίζει ότι τόσο η Microsoft όσο και ορισμένοι προγραμματιστές Linux φέρουν ευθύνη σε αυτήν την κατάσταση.
Σχετικά με το περιστατικό, η Microsoft εξέδωσε μόνο μια δήλωση:
«Αυτή η ενημέρωση δεν εφαρμόζεται όταν εντοπίζεται μια επιλογή εκκίνησης Linux. Ωστόσο, γνωρίζουμε ότι ορισμένα σενάρια διπλής εκκίνησης προκαλούν προβλήματα σε ορισμένους χρήστες, ειδικά όταν χρησιμοποιούνται ξεπερασμένα προγράμματα εκκίνησης Linux που περιέχουν ευάλωτο κώδικα. "Εργαζόμαστε με τους συνεργάτες μας στο Linux για να διερευνήσουμε και να επιλύσουμε αυτό το ζήτημα."
Για όσους αντιμετωπίζουν το πρόβλημα, συνιστάται να δοκιμάσετε να απενεργοποιήσετε την ασφαλή εκκίνηση στο BIOS/UEFI σας ως προσωρινή λύση, αν και αυτό θα μπορούσε να θέσει σε κίνδυνο την ασφάλεια του συστήματος.
Μια άλλη λύση είναι να διαγράψετε τα δεδομένα SBAT που είναι εγκατεστημένα στο UEFI, να εγκαταστήσετε μια νέα διανομή Linux με την κατάλληλη υποστήριξη για ασφαλή εκκίνηση UEFI (όπως το Ubuntu), να εκτελέσετε την εντολή mokutil --set-sbat-policy για να καταργήσετε την πολιτική SBAT και στη συνέχεια να ενεργοποιήσετε ξανά την ασφαλή εκκίνηση.
Ενημερώθηκε: Αν νομίζατε ότι η Microsoft κυκλοφόρησε την ενημέρωση με κακές προθέσεις, ο Matthew Garrett βγαίνει να σας εξηγήσει Ποιος ευθύνεται για το crash in dual boot;