“Ocorreu um erro grave”, alertam os sistemas de inicialização dupla após uma atualização da Microsoft

Na última terça-feira, vários usuários do Linux – muitos deles usando pacotes lançados no início deste ano – começaram a relatar que suas máquinas não estavam inicializando. Em vez disso, eles receberam uma mensagem de erro misteriosa que incluía a seguinte frase: “Ocorreu um erro grave”.

Motivo: Um atualizar A Microsoft lançou esta atualização como parte de seu lançamento mensal de patch. Pretendia-se fechar Fraqueza aos dois anos de idade em comidaum carregador de boot de código aberto usado para iniciar muitos dispositivos Linux. A vulnerabilidade, com uma pontuação de gravidade de 8,6 em 10, permitiu que hackers contornassem o Secure Boot, o padrão da indústria para garantir que dispositivos que executam Windows ou outros sistemas operacionais não carreguem firmware ou malware durante o processo de inicialização. O CVE-2022-2601 foi descoberto em 2022, mas por razões pouco claras, a Microsoft o corrigiu apenas na última terça-feira.

Muitos sistemas operacionais, novos e antigos, são afetados

A atualização de terça-feira deixou dispositivos com inicialização dupla – ou seja, aqueles configurados para rodar Windows e Linux – incapazes de inicializar neste último quando a inicialização segura foi forçada. Quando os usuários tentaram carregar o Linux, eles receberam a mensagem: “Falha na verificação de dados de correção do SBAT: violação da política de segurança. Ocorreu um erro grave: falha na autoverificação do SBAT: violação da política de segurança.” Quase instantaneamente suporta e discussão Fóruns iluminado com Relatórios Subordinar falhar.

“Observe que o Windows diz que esta atualização não se aplicará a sistemas que executam Windows e Linux”, escreveu uma pessoa frustrada. “Isso obviamente não é verdade e provavelmente depende da configuração do sistema e da distribuição que ele está executando. Isso parece ter tornado alguns bootloaders linux efi shim incompatíveis com bootloaders microcrap efi (é por isso que mudar de MS efi para shim funciona) “outro sistema operacional” na configuração efi). O Mint parece ter uma versão shim que o MS SBAT não reconhece.”

Os relatórios indicam que várias distribuições, incluindo Debian, Ubuntu, Linux Mint, Zorin OS e Puppy Linux, foram afetadas. A Microsoft ainda não reconheceu publicamente o bug, explicou como ele não foi descoberto durante os testes ou forneceu orientação técnica para as pessoas afetadas. Os representantes da empresa não responderam a um e-mail solicitando respostas.

O boletim da Microsoft para CVE-20220-2601 explicou que a atualização será instalada coma— Um mecanismo Linux para substituir vários componentes no caminho de inicialização — mas apenas em máquinas configuradas para executar somente Windows. Dessa forma, a inicialização segura em máquinas Windows não ficará vulnerável a ataques que transportam um pacote GRUB que explora a vulnerabilidade. A Microsoft garantiu aos usuários que seus sistemas de inicialização dupla não serão afetados, embora tenha alertado que máquinas que executam versões mais antigas do Linux podem enfrentar problemas.

“O valor SBAT não se aplica a sistemas de inicialização dupla executando Windows e Linux e não deve afetar esses sistemas”, diz o boletim. “Você pode descobrir que os arquivos ISO para distribuições Linux mais antigas não funcionam. Se isso acontecer, entre em contato com seu fornecedor Linux para obter uma atualização.”

Na verdade, a modernização Ele tem Ele é implementado em dispositivos que executam Windows e Linux. Isso inclui não apenas dispositivos de inicialização dupla, mas também dispositivos Windows que podem executar Linux a partir de Imagem ISOOu unidade USB ou mídia óptica. Além disso, muitos dos sistemas afetados executam versões Linux lançadas recentemente, incluindo Ubuntu 24.04 e Debian 12.6.0.

E agora?

Com a Microsoft comprometida com o silêncio sem fio, os afetados pela falha foram forçados a encontrar suas próprias soluções. Uma opção é acessar a placa EFI e desligar a inicialização segura. Dependendo das necessidades de segurança do usuário, esta opção pode não ser aceitável. A melhor opção de curto prazo é excluir o SBAT que a Microsoft promoveu na última terça-feira. Isso significa que os usuários ainda receberão alguns dos benefícios da inicialização segura, mesmo que permaneçam vulneráveis ​​a ataques que exploram o CVE-2022-2601. As etapas deste tratamento foram explicadas aqui (Obrigado por Manothing (Para referência).

As etapas específicas são:

1. Desative a inicialização segura
2. Faça login com seu usuário Ubuntu e abra o terminal
3. Exclua a política SBAT com:

código: Selecionar tudo

sudo mokutil –set-sbat-policy excluir

4. Reinicie seu computador e faça login novamente no Ubuntu para atualizar a política SBAT
5. Reinicie e reative o Secure Boot no BIOS.

Este incidente é o mais recente a ressaltar o quão confuso o Secure Boot se tornou, ou talvez sempre tenha sido. Nos últimos 18 meses, os pesquisadores descobriram pelo menos quatro vulnerabilidades que poderiam ser exploradas para derrotar completamente o mecanismo de segurança. O incidente recente anterior foi o resultado de chaves de teste usadas para autenticação de inicialização segura em quase 500 modelos de dispositivos. As chaves estavam marcadas com as palavras “Não confie”.

“Em última análise, embora o Secure Boot torne o Windows mais seguro, ele parece ter um conjunto crescente de falhas que o tornam não tão seguro quanto pretendido”, disse Will Dorman, analista sênior de vulnerabilidades da empresa de segurança Analygence. “O SecureBoot fica confuso porque não é apenas um brinquedo da Microsoft, embora eles detenham as chaves do reino. Qualquer vulnerabilidade em um componente do SecureBoot pode afetar apenas o Windows que suporta o SecureBoot. Portanto, a Microsoft precisa resolver/bloquear as coisas vulneráveis.”