Immagini Getty
Martedì scorso, diversi utenti Linux, molti dei quali utilizzavano pacchetti rilasciati all’inizio di quest’anno, hanno iniziato a segnalare che le loro macchine non si avviavano. Invece, hanno ricevuto un misterioso messaggio di errore che includeva la seguente frase: “Si è verificato un errore grave”.
Motivo: A aggiornare Microsoft ha rilasciato questo aggiornamento come parte del rilascio della patch mensile. Era previsto che chiudesse Debolezza all’età di due anni In grubun boot loader open source utilizzato per avviare molti dispositivi Linux. La vulnerabilità, con un punteggio di gravità di 8,6 su 10, ha consentito agli hacker di aggirare Secure Boot, lo standard del settore per garantire che i dispositivi che eseguono Windows o altri sistemi operativi non carichino firmware o malware durante il processo di avvio. CVE-2022-2601 è stato scoperto nel 2022, ma per ragioni non chiare Microsoft lo ha patchato solo martedì scorso.
Sono interessati molti sistemi operativi, sia nuovi che vecchi
L’aggiornamento di martedì ha lasciato i dispositivi dual-boot, ovvero quelli configurati per eseguire sia Windows che Linux, incapaci di avviarsi su quest’ultimo quando è stato forzato l’avvio sicuro. Quando gli utenti hanno provato a caricare Linux, hanno ricevuto il messaggio: “Verifica dei dati shim SBAT non riuscita: violazione della politica di sicurezza. Si è verificato un errore grave: controllo automatico SBAT non riuscito: violazione della politica di sicurezza.” Quasi istantaneamente supporta E discussione Forum illuminato con Rapporti Subordinare fallire.
“Nota che Windows afferma che questo aggiornamento non si applicherà ai sistemi che eseguono Windows e Linux”, ha scritto una persona frustrata. “Questo ovviamente non è vero, ed è probabile che dipenda dalla configurazione del sistema e dalla distribuzione in esecuzione. Sembra che questo abbia reso alcuni bootloader efi shim di Linux incompatibili con i bootloader efi microcrap (ecco perché il passaggio da MS efi a shim funziona) “altro sistema operativo” nella configurazione di efi). Mint sembra avere una versione shim che MS SBAT non riconosce.”
I rapporti indicano che diverse distribuzioni, tra cui Debian, Ubuntu, Linux Mint, Zorin OS e Puppy Linux, sono tutte interessate. Microsoft non ha ancora riconosciuto pubblicamente il bug, né ha spiegato come non sia stato scoperto durante i test, né ha fornito indicazioni tecniche alle persone interessate. I rappresentanti dell’azienda non hanno risposto a un’e-mail in cui si richiedevano risposte.
Il bollettino Microsoft per CVE-20220-2601 spiega che l’aggiornamento verrà installato coma— Un meccanismo Linux per sovrascrivere vari componenti nel percorso di avvio, ma solo su macchine configurate per eseguire solo Windows. In questo modo, Secure Boot su macchine Windows non sarà vulnerabile agli attacchi che trasportano un pacchetto GRUB che sfrutta la vulnerabilità. Microsoft ha assicurato agli utenti che i loro sistemi dual-boot non saranno interessati, anche se ha avvertito che le macchine che eseguono versioni precedenti di Linux potrebbero riscontrare problemi.
“Il valore SBAT non si applica ai sistemi dual boot che eseguono sia Windows che Linux e non dovrebbe influire su questi sistemi”, afferma il bollettino. “Potresti scoprire che i file ISO per le distribuzioni Linux precedenti non funzionano. Se ciò accade, collabora con il tuo fornitore Linux per ottenere un aggiornamento.”
In effetti, la modernizzazione Lo ha fatto È implementato su dispositivi che eseguono sia Windows che Linux. Ciò include non solo i dispositivi dual boot ma anche i dispositivi Windows da cui è possibile eseguire Linux Immagine ISOOppure unità USB o supporto ottico. Inoltre, molti dei sistemi interessati eseguono versioni Linux rilasciate di recente, tra cui Ubuntu 24.04 e Debian 12.6.0.
E adesso?
Con Microsoft impegnata nel silenzio wireless, le persone colpite dal difetto sono state costrette a trovare le proprie soluzioni. Un’opzione è accedere alla scheda EFI e disattivare l’avvio sicuro. A seconda delle esigenze di sicurezza dell’utente, questa opzione potrebbe non essere accettabile. La migliore opzione a breve termine è eliminare la SBAT lanciata da Microsoft martedì scorso. Ciò significa che gli utenti continueranno a ricevere alcuni dei vantaggi di Secure Boot anche se rimangono vulnerabili agli attacchi che sfruttano CVE-2022-2601. Le fasi di questo trattamento sono state spiegate Qui (Grazie per Niente (Per riferimento).
I passaggi specifici sono:
1. Disabilita avvio protetto
2. Accedi al tuo utente Ubuntu e apri il terminale
3. Elimina la policy SBAT con:codice: Seleziona tutto
sudo mokutil –set-sbat-policy delete
4. Riavvia il computer e accedi nuovamente a Ubuntu per aggiornare la politica SBAT
5. Riavviare e riattivare l’avvio protetto nel BIOS.
Questo incidente è l’ultimo a sottolineare quanto sia diventato disordinato il Secure Boot, o forse lo è sempre stato. Negli ultimi 18 mesi, i ricercatori hanno scoperto almeno quattro vulnerabilità che potrebbero essere sfruttate per sconfiggere completamente il meccanismo di sicurezza. Il recente incidente precedente era il risultato di chiavi di test utilizzate per l’autenticazione Secure Boot su quasi 500 modelli di dispositivi. Le chiavi erano ben visibili con la scritta “Non fidarti”.
“In definitiva, sebbene Secure Boot renda Windows più sicuro, sembra avere una serie crescente di difetti che lo rendono non così sicuro come previsto”, ha affermato Will Dorman, analista senior di vulnerabilità presso la società di sicurezza Analygence. “SecureBoot diventa complicato perché non è solo un giocattolo di Microsoft, anche se loro detengono le chiavi del regno. Qualsiasi vulnerabilità in un componente SecureBoot può colpire solo Windows che supporta SecureBoot. Pertanto, Microsoft deve affrontare/bloccare le cose vulnerabili.”
