„Es ist ein schwerwiegender Fehler aufgetreten“, warnen Dual-Boot-Systeme nach einem Microsoft-Update

Am vergangenen Dienstag berichteten mehrere Linux-Benutzer – viele von ihnen verwendeten Pakete, die Anfang des Jahres veröffentlicht wurden –, dass ihre Rechner nicht mehr booten konnten. Stattdessen erhielten sie eine mysteriöse Fehlermeldung mit folgendem Satz: „Es ist ein schwerwiegender Fehler aufgetreten.“

Grund: A zu aktualisieren Microsoft hat dieses Update im Rahmen seiner monatlichen Patch-Veröffentlichung veröffentlicht. Es war beabsichtigt, zu schließen Schwäche im Alter von zwei Jahren In rodenein Open-Source-Bootloader, der zum Starten vieler Linux-Geräte verwendet wird. Die Schwachstelle mit einem Schweregrad von 8,6 von 10 ermöglichte es Hackern, Secure Boot zu umgehen, den Industriestandard, der sicherstellt, dass Geräte mit Windows oder anderen Betriebssystemen während des Startvorgangs keine Firmware oder Malware laden. CVE-2022-2601 wurde im Jahr 2022 entdeckt, aber aus unklaren Gründen hat Microsoft es erst letzten Dienstag gepatcht.

Viele Betriebssysteme, sowohl neue als auch alte, sind betroffen

Das Update vom Dienstag führte dazu, dass Dual-Boot-Geräte – also solche, die für die Ausführung von Windows und Linux konfiguriert waren – nicht in der Lage waren, Letzteres zu starten, wenn Secure Boot erzwungen wurde. Als Benutzer versuchten, Linux zu laden, erhielten sie die Meldung: „SBAT-Shim-Datenprüfung fehlgeschlagen: Verstoß gegen die Sicherheitsrichtlinie. Es ist ein schwerwiegender Fehler aufgetreten: SBAT-Selbstprüfung fehlgeschlagen: Verstoß gegen die Sicherheitsrichtlinie.“ Fast augenblicklich unterstützt Und Diskussion Foren beleuchtet mit Berichte Untergeordnet scheitern.

„Beachten Sie, dass Windows angibt, dass dieses Update nicht für Systeme gilt, auf denen Windows und Linux ausgeführt werden“, schrieb eine frustrierte Person. „Das ist offensichtlich nicht wahr und hängt wahrscheinlich von der Systemkonfiguration und -verteilung ab, die es ausführt. Dies scheint dazu geführt zu haben, dass einige Linux-EFI-Shim-Bootloader mit Microcrap-EFI-Bootloadern inkompatibel sind (deshalb funktioniert der Wechsel von MS EFI zu Shim)“ und andere Betriebssystem“ im EFI-Setup). Mint scheint eine Shim-Version zu haben, die MS SBAT nicht erkennt.“

Berichten zufolge sind mehrere Distributionen betroffen, darunter Debian, Ubuntu, Linux Mint, Zorin OS und Puppy Linux. Microsoft hat den Fehler noch nicht öffentlich anerkannt, erklärt, warum er beim Testen nicht entdeckt wurde, und den Betroffenen keine technische Anleitung gegeben. Unternehmensvertreter antworteten nicht auf eine E-Mail mit der Bitte um Antworten.

Im Microsoft-Bulletin zu CVE-20220-2601 wurde erklärt, dass das Update installiert wird Koma– Ein Linux-Mechanismus zum Überschreiben verschiedener Komponenten im Startpfad – jedoch nur auf Computern, die nur für die Ausführung von Windows konfiguriert sind. Auf diese Weise ist Secure Boot auf Windows-Rechnern nicht anfällig für Angriffe, die ein GRUB-Paket enthalten, das die Schwachstelle ausnutzt. Microsoft hat den Benutzern versichert, dass ihre Dual-Boot-Systeme nicht betroffen sein werden, hat jedoch gewarnt, dass auf Maschinen, auf denen ältere Linux-Versionen laufen, Probleme auftreten könnten.

„Der SBAT-Wert gilt nicht für Dual-Boot-Systeme, auf denen sowohl Windows als auch Linux laufen, und sollte diese Systeme nicht beeinträchtigen“, heißt es in dem Bulletin. „Möglicherweise funktionieren ISO-Dateien für ältere Linux-Distributionen nicht. Wenden Sie sich in diesem Fall an Ihren Linux-Anbieter, um ein Update zu erhalten.“

Tatsächlich Modernisierung Er hat Es ist auf Geräten implementiert, auf denen sowohl Windows als auch Linux ausgeführt werden. Dazu gehören nicht nur Dual-Boot-Geräte, sondern auch Windows-Geräte, auf denen Linux ausgeführt werden kann ISO-ImageOder USB-Laufwerk oder optische Medien. Darüber hinaus laufen auf vielen der betroffenen Systeme kürzlich veröffentlichte Linux-Versionen, darunter Ubuntu 24.04 und Debian 12.6.0.

Was nun?

Da sich Microsoft der drahtlosen Stille verschrieben hat, waren die von der Schwachstelle Betroffenen gezwungen, ihre eigenen Lösungen zu finden. Eine Möglichkeit besteht darin, auf die EFI-Karte zuzugreifen und den sicheren Start zu deaktivieren. Abhängig von den Sicherheitsanforderungen des Benutzers ist diese Option möglicherweise nicht akzeptabel. Die beste kurzfristige Option besteht darin, den SBAT zu streichen, den Microsoft letzten Dienstag vorangetrieben hat. Dies bedeutet, dass Benutzer weiterhin einige Vorteile von Secure Boot nutzen können, auch wenn sie weiterhin anfällig für Angriffe sind, die CVE-2022-2601 ausnutzen. Die Schritte dieser Behandlung wurden erklärt Hier (Danke für Manothing (Als Referenz).

Die konkreten Schritte sind:

1. Deaktivieren Sie Secure Boot
2. Melden Sie sich bei Ihrem Ubuntu-Benutzer an und öffnen Sie das Terminal
3. Löschen Sie die SBAT-Richtlinie mit:

Code: Alles auswählen

sudo mokutil –set-sbat-policy delete

4. Starten Sie Ihren Computer neu und melden Sie sich erneut bei Ubuntu an, um die SBAT-Richtlinie zu aktualisieren
5. Starten Sie neu und aktivieren Sie Secure Boot im BIOS erneut.

Dieser Vorfall ist der jüngste, der unterstreicht, wie chaotisch Secure Boot geworden ist oder vielleicht schon immer war. In den letzten 18 Monaten haben Forscher mindestens vier Schwachstellen entdeckt, die ausgenutzt werden könnten, um den Sicherheitsmechanismus vollständig außer Kraft zu setzen. Der letzte Vorfall war das Ergebnis von Testschlüsseln, die für die Secure Boot-Authentifizierung bei fast 500 Gerätemodellen verwendet wurden. Die Schlüssel waren gut sichtbar mit der Aufschrift „Vertraue nicht“ gekennzeichnet.

„Letztendlich sorgt Secure Boot dafür, dass Windows sicherer läuft, es scheint aber immer mehr Schwachstellen zu haben, die es nicht ganz so sicher machen wie beabsichtigt“, sagte Will Dorman, leitender Schwachstellenanalyst beim Sicherheitsunternehmen Analygence. „SecureBoot wird chaotisch, weil es nicht nur Microsofts Spielzeug ist, auch wenn sie die Schlüssel zum Königreich besitzen. Jede Schwachstelle in einer SecureBoot-Komponente betrifft möglicherweise nur Windows, die SecureBoot unterstützt. Daher muss Microsoft die anfälligen Dinge beheben/blockieren.“