“Er is een ernstige fout opgetreden”, waarschuwen dual-boot-systemen na een Microsoft-update

Afgelopen dinsdag begonnen verschillende Linux-gebruikers (waarvan velen pakketten gebruikten die begin dit jaar zijn uitgebracht) te melden dat hun machines niet meer opstartten. In plaats daarvan ontvingen ze een mysterieus foutbericht met de volgende zin: “Er heeft zich een ernstige fout voorgedaan.”

Reden: A bijwerken Microsoft heeft deze update uitgebracht als onderdeel van de maandelijkse patchrelease. Het was de bedoeling om te sluiten Zwakte op de leeftijd van twee jaar in rooieneen open source bootloader die werd gebruikt om veel Linux-apparaten op te starten. Dankzij de kwetsbaarheid, met een ernstscore van 8,6 uit 10, konden hackers Secure Boot omzeilen, de industriestandaard die ervoor zorgt dat apparaten met Windows of andere besturingssystemen geen firmware of malware laden tijdens het opstartproces. CVE-2022-2601 werd in 2022 ontdekt, maar om onduidelijke redenen heeft Microsoft deze pas afgelopen dinsdag gepatcht.

Veel besturingssystemen, zowel nieuwe als oude, worden getroffen

Door de update van dinsdag konden dual-boot-apparaten (dat wil zeggen apparaten die zijn geconfigureerd om zowel Windows als Linux te draaien) niet meer op laatstgenoemde opstarten toen Secure Boot werd geforceerd. Toen gebruikers Linux probeerden te laden, ontvingen ze het bericht: “SBAT shim-gegevenscontrole mislukt: schending van het beveiligingsbeleid. Er is een ernstige fout opgetreden: SBAT-zelfcontrole mislukt: schending van het beveiligingsbeleid.” Bijna onmiddellijk ondersteunt En discussie Forums verlicht met Rapporten Volgeling falen.

“Merk op dat Windows zegt dat deze update niet van toepassing zal zijn op systemen met Windows en Linux”, schreef een gefrustreerde persoon. “Dit is duidelijk niet waar, en zal waarschijnlijk afhangen van de systeemconfiguratie en distributie die het draait. Dit lijkt sommige Linux efi shim-bootloaders incompatibel te hebben gemaakt met microcrap efi-bootloaders (daarom werkt het overschakelen van MS efi naar shim) “anders OS” in efi-installatie). Mint lijkt een shim-versie te hebben die MS SBAT niet herkent.”

Uit rapporten blijkt dat verschillende distributies, waaronder Debian, Ubuntu, Linux Mint, Zorin OS en Puppy Linux, allemaal getroffen zijn. Microsoft heeft de bug nog niet publiekelijk erkend, uitgelegd waarom deze niet tijdens het testen werd ontdekt, en heeft ook geen technische begeleiding gegeven aan de betrokkenen. Vertegenwoordigers van het bedrijf hebben niet gereageerd op een e-mail waarin om antwoorden werd gevraagd.

In het bulletin van Microsoft voor CVE-20220-2601 wordt uitgelegd dat de update zal worden geïnstalleerd coma— Een Linux-mechanisme voor het overschrijven van verschillende componenten in het opstartpad, maar alleen op machines die zijn geconfigureerd om alleen Windows te draaien. Op deze manier zal Secure Boot op Windows-machines niet kwetsbaar zijn voor aanvallen met een GRUB-pakket dat misbruik maakt van de kwetsbaarheid. Microsoft heeft gebruikers verzekerd dat hun dual-boot-systemen niet zullen worden getroffen, hoewel het heeft gewaarschuwd dat machines met oudere versies van Linux problemen kunnen ondervinden.

“De SBAT-waarde is niet van toepassing op dual-boot-systemen die zowel Windows als Linux draaien en zou geen invloed moeten hebben op deze systemen”, aldus het bulletin. “Het kan zijn dat ISO-bestanden voor oudere Linux-distributies niet werken. Als dit gebeurt, werk dan samen met uw Linux-leverancier om een ​​update te verkrijgen.”

Modernisering eigenlijk Hij heeft Het wordt geïmplementeerd op apparaten met zowel Windows als Linux. Dit omvat niet alleen dual-boot-apparaten, maar ook Windows-apparaten waarop Linux kan worden uitgevoerd ISO-afbeeldingOf USB-drive of optische media. Bovendien draaien veel van de getroffen systemen op onlangs uitgebrachte Linux-versies, waaronder Ubuntu 24.04 en Debian 12.6.0.

Wat nu?

Nu Microsoft zich inzet voor draadloze stilte, werden degenen die door de fout werden getroffen, gedwongen hun eigen oplossingen te vinden. Eén optie is om toegang te krijgen tot hun EFI-bord en beveiligd opstarten uit te schakelen. Afhankelijk van de beveiligingsbehoeften van de gebruiker is deze optie mogelijk niet acceptabel. De beste optie voor de korte termijn is het verwijderen van de SBAT die Microsoft afgelopen dinsdag heeft gepusht. Dit betekent dat gebruikers nog steeds enkele voordelen van Secure Boot zullen ontvangen, zelfs als ze kwetsbaar blijven voor aanvallen die misbruik maken van CVE-2022-2601. De stappen van deze behandeling zijn uitgelegd hier (Bedankt voor Manothing (Ter referentie).

De specifieke stappen zijn:

1. Schakel Veilig opstarten uit
2. Meld u aan bij uw Ubuntu-gebruiker en open de terminal
3. Verwijder het SBAT-beleid met:

code: Selecteer alles

sudo mokutil –set-sbat-policy verwijderen

4. Start uw computer opnieuw op en log opnieuw in bij Ubuntu om het SBAT-beleid bij te werken
5. Start Secure Boot opnieuw op en schakel het opnieuw in in het BIOS.

Dit incident is het laatste incident dat onderstreept hoe rommelig Secure Boot is geworden, of misschien altijd al is geweest. De afgelopen achttien maanden hebben onderzoekers ten minste vier kwetsbaarheden ontdekt die kunnen worden uitgebuit om het beveiligingsmechanisme volledig te omzeilen. Het vorige recente incident was het resultaat van testsleutels die werden gebruikt voor Secure Boot-authenticatie op bijna 500 apparaatmodellen. Op de sleutels stond duidelijk de tekst ‘Vertrouw niet’.

“Hoewel Secure Boot ervoor zorgt dat Windows veiliger werkt, lijkt het uiteindelijk een groeiend aantal tekortkomingen te vertonen waardoor het niet zo veilig is als bedoeld”, zegt Will Dorman, senior kwetsbaarheidsanalist bij beveiligingsbedrijf Analygence. “SecureBoot wordt rommelig omdat het niet alleen het speelgoed van Microsoft is, ook al bezitten zij de sleutels tot het koninkrijk. Elke kwetsbaarheid in een SecureBoot-component treft mogelijk alleen Windows die SecureBoot ondersteunt. Daarom moet Microsoft de kwetsbare dingen aanpakken/blokkeren.”