며칠 전에 마이크로소프트가 '보안 업데이트'를 발표했습니다. "라는 목적이 있었던 것으로 추정됩니다.GRUB의 2년 된 취약점 해결 », 그러나 도움이 되기는커녕 이 업데이트는 Windows 및 Linux를 실행하는 이중 부팅 시스템에서 몇 가지 심각한 문제를 일으켰습니다. 이로 인해 Linux 시스템에서 부팅이 중단되었습니다. 보안 부팅이 활성화된 경우.
취약점 이번 업데이트로 해결하기로 제안된 사항은 CVE-2022-2601 GRUB2에서는 이 취약점이 공격자가 보안 부팅 보호를 우회할 수 있습니다. 이에 대응하여 Microsoft는 이 취약점에 대해 패치가 적용되지 않은 Linux 부트 로더를 차단하기로 결정했습니다. 이로 인해 Linux 시스템이 이중 부팅 구성에서 Windows와 함께 부팅되지 않을 수 있습니다.
Microsoft는 이 문제를 해결하기 위해 게시한 권고에서 “이 CVE와 관련된 취약점은 Linux 시스템에서 보안 부팅을 지원하도록 설계된 Linux 부트 로더인 GRUB2에 있습니다.”라고 밝혔습니다. "이 사실은 보안 업데이트 가이드에 문서화되어 있으며, 최신 버전의 Windows는 Linux GRUB2 부트로더를 사용하여 이 보안 조치를 우회하는 데 더 이상 취약하지 않다고 명시되어 있습니다. SBAT 값은 Windows와 Linux를 모두 실행하는 이중 부팅 시스템에는 적용되지 않으므로 이러한 시스템에 영향을 주지 않습니다.
문제에 대해
사용자가 단일 컴퓨터에 두 운영 체제 중 하나를 설치하고 선택할 수 있는 듀얼 부팅은 이 업데이트로 인해 부정적인 영향을 받았습니다. 특히, GRUB를 사용하는 Linux 시스템 부팅 관리자로보안 부팅을 활성화한 경우 업데이트 후 충돌이 발생했습니다.
업데이트 Windows는 새로운 SBAT 정책을 구현했습니다. (UEFI 보안 부팅 고급 타겟팅), 부트로더를 차단하도록 설계됨 작성자: Linux 업데이트되지 않은 것 GRUB2022의 CVE-2601-2 취약점을 해결합니다. 문제는 다음을 나타내는 오류 메시지와 함께 나타납니다.
«SBAT 데이터 확인 오류: 보안 정책 위반. "뭔가 매우 잘못되었습니다. SBAT 자체 테스트에 실패했습니다. 보안 정책 위반입니다."
SBAT 메커니즘, Red Hat과 Microsoft가 개발한 디지털 서명을 취소하지 않고도 GRUB 부트로더의 취약점을 차단하도록 설계되었습니다. SBAT는 디지털 서명으로 인증되고 UEFI 보안 부팅에서 허용되거나 금지된 구성 요소 목록을 관리하는 데 사용되는 UEFI 구성 요소 실행 파일에 메타데이터를 추가합니다. UEFI 인증서 해지 목록(dbx)을 업데이트해야 했던 이전 방법과 달리 이 시스템을 사용하면 전체 키를 해지하지 않고도 특정 버전의 구성 요소를 잠글 수 있습니다.
현재 문제는 Microsoft 측의 테스트 부족으로 인해 발생한 것으로 보입니다. 패치를 구현하기 전에 Linux 배포판 개발자가 일부 GRUB 부트로더를 업데이트하지 않았습니다. 문제에 대한 Matthew Garrett의 상세한 분석 번역이 게시되었으며, 이는 Microsoft와 일부 Linux 개발자 모두 이 상황에 대한 책임이 있음을 강조합니다.
이 사건과 관련하여 Microsoft는 다음과 같은 성명만 발표했습니다.
“이 업데이트는 Linux 부팅 옵션이 감지되면 적용되지 않습니다. 그러나 우리는 특히 취약한 코드가 포함된 오래된 Linux 부트로더를 사용할 때 일부 사용자에게 일부 이중 부팅 시나리오가 문제를 일으키는 것을 알고 있습니다. "우리는 이 문제를 조사하고 해결하기 위해 Linux 파트너와 협력하고 있습니다."
문제가 발생하는 경우 임시 해결 방법으로 BIOS/UEFI에서 보안 부팅을 비활성화하는 것이 좋습니다. 하지만 이렇게 하면 시스템 보안이 손상될 수 있습니다.
또 다른 해결 방법은 UEFI에 설치된 SBAT 데이터를 삭제하고, UEFI 보안 부팅(예: Ubuntu)을 적절하게 지원하는 새 Linux 배포판을 설치하고, 다음 명령을 실행하는 것입니다. mokutil --set-sbat-policy
SBAT 정책을 제거한 다음 보안 부팅을 다시 활성화합니다.
업데이트 : Microsoft가 나쁜 의도로 업데이트를 출시했다고 생각했다면 Matthew Garrett이 나와서 설명합니다. 듀얼 부팅 충돌의 책임은 누구에게 있습니까?