Актуализация на Microsoft блокира Linux-системи по целия свят

/КРОСС/  Миналата седмица много потребители на Linux се сблъскаха със сериозен проблем: Някои устройства спряха да се включват нормално след актуализация, пусната от Microsoft в рамките на Patch Tuesday. Вместо нормалното стартиране на системата се появяло съобщение за грешка.

Причината беше грешка в актуализацията, която адресира 2-годишна уязвимост в GRUB - зареждащото устройство, използвано за стартиране на много Linux устройства.

Уязвимостта CVE-2022-2601 (с CVSS оценка: 8.6) позволяваше на нападателите да заобиколят Secure Boot - стандарт за сигурност, който гарантира, че устройствата не изтеглят зловреден софтуер или фърмуер по време на стартиране. Уязвимостта е открита още през 2022 година, но по неизвестни причини Microsoft я закърпи едва сега.

Актуализацията засегна устройствата с двойно стартиране (dual boot), на които е инсталиран както Windows, така и Linux.

При опит за стартиране на Linux потребителите се сблъскваха със съобщението: „Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation". Форумите за поддръжка и дискусиите се напълниха с публикации за проблема. Потребителите отбелязаха, че въпреки уверенията на Microsoft актуализацията е засегнала системите с двойно зареждане.

Според потребителите грешката е свързана с несъвместимостта на някои версии на Linux boot loader с новия EFI микрокод на Microsoft. Сред засегнатите са популярни дистрибуции като Debian, Ubuntu, Linux Mint, Zorin OS и Puppy Linux.

Microsoft все още не е признала публично за грешката, не е обяснила защо тя не е била открита по време на тестовете и не е предоставила технически съвети за засегнатите потребители. В бюлетина за CVE-2022-2601 Microsoft увери, че актуализацията ще инсталира SBAT - механизма на Linux за отмяна на различни компоненти в пътя за зареждане, но само на устройства, работещи само с Windows. Актуализацията не трябваше да засегне системите с двойно зареждане. На практика обаче се оказа, че това не е така, което предизвика възмущение сред потребителите.

Някои потребители намериха временно решение на проблема - деактивиране на Secure Boot чрез EFI панела. Този метод обаче може да не е приемлив за тези, които се нуждаят от защита на Secure Boot. Друга възможност е да се премахне политиката SBAT, въведена от Microsoft.

Конкретни стъпки:
Изключете Secure Boot;
Влезте като потребител на Ubuntu и отворете терминал;
Изтрийте политиката SBAT чрез командата: sudo mokutil -set-sbat-policy delete
Рестартирайте компютъра си и влезте отново в Ubuntu, за да актуализирате политиката SBAT;
Рестартирайте компютъра си и след това активирайте отново Secure Boot в BIOS.
Тези действия ще запазят някои от предимствата на Secure Boot, дори ако потребителите останат уязвими за атаки