W ubiegły wtorek kilku użytkowników Linuksa — wielu z nich korzystało z pakietów wydanych na początku tego roku — zaczęło zgłaszać, że ich komputery nie uruchamiają się. Zamiast tego otrzymali tajemniczy komunikat o błędzie, który zawierał następującą frazę: „Wystąpił poważny błąd”.
Powód: A zaktualizować Firma Microsoft wydała tę aktualizację w ramach comiesięcznego wydania łatki. Miało zostać zamknięte Osłabienie w wieku dwóch lat W żarciemoduł ładujący typu open source używany do uruchamiania wielu urządzeń z systemem Linux. Luka o wskaźniku ważności 8,6 na 10 umożliwiła hakerom ominięcie bezpiecznego rozruchu, standardu branżowego gwarantującego, że urządzenia z systemem Windows lub innym systemem operacyjnym nie będą ładowały oprogramowania sprzętowego ani złośliwego oprogramowania podczas procesu rozruchu. CVE-2022-2601 został odkryty w 2022 roku, ale z niejasnych powodów Microsoft załatał go dopiero w ubiegły wtorek.
Problem dotyczy wielu systemów operacyjnych, zarówno nowych, jak i starych
Wtorkowa aktualizacja spowodowała, że urządzenia z podwójnym uruchomieniem – czyli skonfigurowane do pracy zarówno z systemem Windows, jak i Linux – nie mogły uruchomić się na tym drugim, gdy wymuszono bezpieczny rozruch. Kiedy użytkownicy próbowali załadować Linuksa, otrzymywali komunikat: „Sprawdzanie danych podkładki SBAT nie powiodło się: Naruszenie zasad bezpieczeństwa. Wystąpił poważny błąd: Samosprawdzenie SBAT nie powiodło się: Naruszenie zasad bezpieczeństwa”. Niemal natychmiast obsługuje I dyskusja Fora świeciło z Raporty Podrzędny ponieść porażkę.
„Pamiętaj, że według systemu Windows ta aktualizacja nie będzie dotyczyć systemów Windows i Linux” – napisała jedna sfrustrowana osoba. „To oczywiście nieprawda i prawdopodobnie zależy od konfiguracji systemu i dystrybucji, na której jest uruchomiony. Wygląda na to, że niektóre programy ładujące efi shim systemu Linux są niekompatybilne z programami ładującymi microcrap efi (dlatego przejście z MS efi na podkładkę działa) „other OS” w konfiguracji efi). Wygląda na to, że Mint ma wersję podkładki, której MS SBAT nie rozpoznaje.
Raporty wskazują, że problem dotyczy kilku dystrybucji, w tym Debian, Ubuntu, Linux Mint, Zorin OS i Puppy Linux. Firma Microsoft nie potwierdziła jeszcze publicznie błędu, nie wyjaśniła, dlaczego nie została wykryta podczas testów, ani nie zapewniła wskazówek technicznych osobom, których dotyczy problem. Przedstawiciele firmy nie odpowiedzieli na e-mail z prośbą o udzielenie odpowiedzi.
W biuletynie Microsoftu dotyczącym CVE-20220-2601 wyjaśniono, że aktualizacja zostanie zainstalowana śpiączka— Mechanizm systemu Linux umożliwiający zastępowanie różnych komponentów ścieżki rozruchowej — ale tylko na komputerach skonfigurowanych do uruchamiania wyłącznie systemu Windows. W ten sposób funkcja Secure Boot na komputerach z systemem Windows nie będzie narażona na ataki zawierające pakiet GRUB wykorzystujący tę lukę. Microsoft zapewnił użytkowników, że nie będzie to miało wpływu na ich systemy z podwójnym rozruchem, chociaż przestrzegł, że na komputerach ze starszymi wersjami Linuksa mogą wystąpić problemy.
„Wartość SBAT nie ma zastosowania do systemów z podwójnym rozruchem, na których działają zarówno Windows, jak i Linux, i nie powinna mieć wpływu na te systemy” – czytamy w biuletynie. „Może się okazać, że pliki ISO dla starszych dystrybucji Linuksa nie będą działać. Jeśli tak się stanie, skontaktuj się ze swoim dostawcą Linuksa, aby uzyskać aktualizację”.
A właściwie modernizacja On ma Jest wdrażany na urządzeniach z systemem Windows i Linux. Dotyczy to nie tylko urządzeń z podwójnym rozruchem, ale także urządzeń z systemem Windows, na których można uruchomić Linuksa Obraz ISOLub napęd USB lub nośnik optyczny. Co więcej, na wielu systemach, których dotyczy problem, działają niedawno wydane wersje Linuksa, w tym Ubuntu 24.04 i Debian 12.6.0.
Co teraz?
Ponieważ Microsoft zobowiązał się do wyciszenia sieci bezprzewodowej, osoby dotknięte usterką zmuszone były do znalezienia własnych rozwiązań. Jedną z opcji jest uzyskanie dostępu do karty EFI i wyłączenie bezpiecznego rozruchu. W zależności od potrzeb bezpieczeństwa użytkownika opcja ta może nie być akceptowana. Najlepszą opcją krótkoterminową jest usunięcie SBAT wprowadzonego przez Microsoft w zeszły wtorek. Oznacza to, że użytkownicy nadal będą korzystać z niektórych zalet bezpiecznego rozruchu, nawet jeśli będą podatni na ataki wykorzystujące CVE-2022-2601. Etapy tego leczenia zostały wyjaśnione Tutaj (Dzięki za Manothing (W celach informacyjnych).
Konkretne kroki to:
1. Wyłącz Bezpieczny rozruch
2. Zaloguj się na konto użytkownika Ubuntu i otwórz terminal
3. Usuń politykę SBAT za pomocą:kod: Zaznacz wszystko
sudo mokutil –set-sbat-policy usuń
4. Uruchom ponownie komputer i zaloguj się ponownie do Ubuntu, aby zaktualizować politykę SBAT
5. Uruchom ponownie i ponownie włącz Bezpieczny rozruch w systemie BIOS.
Ten incydent jest najnowszym wydarzeniem, które podkreśla, jak bałagan stał się Bezpieczny rozruch, a może zawsze taki był. W ciągu ostatnich 18 miesięcy badacze odkryli co najmniej cztery luki, które można wykorzystać do całkowitego obejścia mechanizmu bezpieczeństwa. Poprzedni niedawny incydent był wynikiem użycia kluczy testowych do uwierzytelnienia Secure Boot na prawie 500 modelach urządzeń. Klucze były wyraźnie oznaczone słowami „Nie ufaj”.
„Ostatecznie, chociaż funkcja Secure Boot sprawia, że system Windows działa bezpieczniej, wydaje się, że ma coraz więcej wad, które sprawiają, że nie jest on tak bezpieczny, jak oczekiwano” – powiedział Will Dorman, starszy analityk podatności na zagrożenia w firmie zajmującej się bezpieczeństwem Analygence. „W SecureBoot robi się bałagan, bo to nie tylko zabawka Microsoftu, mimo że to on trzyma klucze do królestwa. Jakakolwiek luka w komponencie SecureBoot może dotyczyć tylko systemu Windows obsługującego SecureBoot. Dlatego Microsoft musi zająć się/zablokować podatne elementy.”