В прошлый вторник множество пользователей Linux — многие из которых используют пакеты, выпущенные еще в этом году — начали сообщать, что их устройства не загружаются. Вместо этого они получили загадочное сообщение об ошибке, включавшее фразу: «Что-то пошло серьезно не так».
Причина: обновлять Microsoft выпустила в рамках своего ежемесячного выпуска исправлений. Он был предназначен для закрытия Уязвимость 2-летнего ребенка в GRUBзагрузчик с открытым исходным кодом, используемый для запуска многих устройств Linux. Уязвимость с рейтингом серьезности 8,6 из 10 позволяла хакерам обходить безопасную загрузку, отраслевой стандарт, гарантирующий, что устройства под управлением Windows или других операционных систем не будут загружать вредоносную прошивку или программное обеспечение во время процесса загрузки. CVE-2022-2601 была обнаружена в 2022 году, но по неясным причинам Microsoft исправила ее только во вторник.
Затронутые несколько дистрибутивов, как новых, так и старых
Обновление во вторник оставило устройства с двойной загрузкой — то есть те, которые настроены на работу как с Windows, так и с Linux — больше не способными загружаться в последний, когда была применена безопасная загрузка. Когда пользователи пытались загрузить Linux, они получали сообщение: «Проверка данных shim SBAT не удалась: нарушение политики безопасности. Что-то пошло серьезно не так: самопроверка SBAT не удалась: нарушение политики безопасности». Почти сразу поддерживать и обсуждение форумы загорелся с отчеты принадлежащий отказ.
«Обратите внимание, что Windows заявляет, что это обновление не будет применяться к системам с двойной загрузкой Windows и Linux», — написал один расстроенный человек. «Это, очевидно, неправда и, вероятно, зависит от конфигурации вашей системы и используемого дистрибутива. Похоже, что это сделало некоторые загрузчики Linux efi shim несовместимыми с загрузчиками microcrap efi (вот почему переключение с MS efi на «другую ОС» в настройке efi работает). Похоже, что у Mint есть версия shim, которую MS SBAT не распознает».
В отчетах указано, что затронуты несколько дистрибутивов, включая Debian, Ubuntu, Linux Mint, Zorin OS, Puppy Linux. Microsoft еще не признала ошибку публично, не объяснила, почему она не была обнаружена во время тестирования, и не предоставила техническое руководство пострадавшим. Представители компании не ответили на электронное письмо с просьбой дать ответы.
В бюллетене Microsoft для CVE-20220-2601 поясняется, что обновление установит СБАТ—механизм Linux для отзыва различных компонентов в пути загрузки — но только на устройствах, настроенных на работу только с Windows. Таким образом, Secure Boot на устройствах Windows больше не будет уязвим для атак, загружающих пакет GRUB, который эксплуатирует уязвимость. Microsoft заверила пользователей, что их системы с двойной загрузкой не будут затронуты, хотя и предупредила, что устройства, работающие под управлением старых версий Linux, могут испытывать проблемы.
«Значение SBAT не применяется к системам с двойной загрузкой, которые загружают как Windows, так и Linux, и не должно влиять на эти системы», — говорится в бюллетене. «Вы можете обнаружить, что старые дистрибутивы Linux ISO не будут загружаться. Если это произойдет, обратитесь к поставщику Linux, чтобы получить обновление».
На самом деле, обновление имеет применяется к устройствам, которые загружают как Windows, так и Linux. Это не только включает в себя устройства с двойной загрузкой, но и устройства Windows, которые могут загружать Linux с ISO-образUSB-накопитель или оптический носитель. Более того, многие из затронутых систем работают на недавно выпущенных версиях Linux, включая Ubuntu 24.04 и Debian 12.6.0.
Что теперь?
Поскольку Microsoft сохраняет радиомолчание, пострадавшие от сбоя были вынуждены искать собственные средства защиты. Один из вариантов — открыть панель EFI и отключить безопасную загрузку. В зависимости от потребностей пользователя в безопасности этот вариант может оказаться неприемлемым. Лучшим краткосрочным вариантом будет удаление SBAT, который Microsoft выпустила в прошлый вторник. Это означает, что пользователи по-прежнему будут получать некоторые преимущества безопасной загрузки, даже если они останутся уязвимыми для атак, использующих CVE-2022-2601. Шаги для этого средства защиты изложены ниже. здесь (благодаря манутин для справки).
Конкретные шаги таковы:
1. Отключить безопасную загрузку
2. Войдите в систему как пользователь Ubuntu и откройте терминал.
3. Удалить политику SBAT с помощью:Код: Выбрать все
sudo mokutil —set-sbat-policy удалить
4. Перезагрузите компьютер и снова войдите в Ubuntu, чтобы обновить политику SBAT.
5. Перезагрузите компьютер и снова включите безопасную загрузку в BIOS.
Этот инцидент является последним, чтобы подчеркнуть, каким беспорядком стал Secure Boot, или, возможно, всегда был. За последние 18 месяцев исследователи обнаружили по крайней мере четыре уязвимости которые могут быть использованы для полностью нейтрализовать механизм безопасности. Предшествующий самый последний случай был результатом тестовых ключей, используемых для аутентификации Secure Boot примерно на 500 моделях устройств. Ключи были заметно помечены словами «НЕ ДОВЕРЯЙТЕ».
«В конце концов, хотя Secure Boot делает загрузку Windows более безопасной, похоже, у него растет куча недостатков, которые делают его не таким безопасным, каким он должен быть», — сказал Уилл Дорманн, старший аналитик уязвимостей в компании по безопасности Analygence. «SecureBoot становится беспорядочным, поскольку это не игра только для MS, хотя у них есть ключи от королевства. Любая уязвимость в компоненте SecureBoot может повлиять на систему Windows, поддерживающую SecureBoot. Таким образом, MS приходится устранять/блокировать уязвимые вещи».