Minulý utorok niekoľko používateľov Linuxu – mnohí z nich používajú balíky vydané začiatkom tohto roka – začalo hlásiť, že ich počítače sa nedarí zaviesť. Namiesto toho dostali záhadnú chybovú správu, ktorá obsahovala nasledujúcu frázu: „Vyskytla sa vážna chyba.“

Dôvod: A aktualizovať Spoločnosť Microsoft vydala túto aktualizáciu ako súčasť svojej mesačnej opravy. Bol určený na zatvorenie Slabosť vo veku dvoch rokov v grubzavádzač s otvoreným zdrojom používaný na spustenie mnohých zariadení so systémom Linux. Zraniteľnosť so skóre závažnosti 8,6 z 10 umožnila hackerom obísť Secure Boot, priemyselný štandard na zabezpečenie toho, aby zariadenia so systémom Windows alebo inými operačnými systémami nenačítali firmvér alebo malvér počas procesu zavádzania. CVE-2022-2601 bol objavený v roku 2022, no z nejasných dôvodov ho Microsoft opravil až minulý utorok.

Ovplyvnené sú mnohé operačné systémy, nové aj staré

Utorňajšia aktualizácia spôsobila, že zariadenia s dvojitým zavádzaním – teda tie, ktoré sú nakonfigurované na spustenie systému Windows aj Linux – nemohli spustiť systém Linux, keď bolo vynútené Secure Boot. Keď sa používatelia pokúsili načítať Linux, dostali správu: „SBAT shim kontrola dát zlyhala: Porušenie bezpečnostnej politiky. Vyskytla sa vážna chyba: Samokontrola SBAT zlyhala: Porušenie bezpečnostnej politiky.“ Takmer okamžite podporuje a diskusia fóra rozsvietil sa s Správy Podriadený zlyhať.

„Všimnite si, že Windows hovorí, že táto aktualizácia sa nebude vzťahovať na systémy so systémom Windows a Linux,“ napísal jeden frustrovaný človek. „Toto zjavne nie je pravda a pravdepodobne to závisí od konfigurácie systému a distribúcie, na ktorej beží. Zdá sa, že to spôsobilo, že niektoré zavádzače efi shim linux sú nekompatibilné s bootloadermi microcrap efi (preto funguje prechod z MS efi na shim) „iné operačný systém“ v nastavení efi). Zdá sa, že Mint má verziu shim, ktorú MS SBAT nerozpozná.“

Správy naznačujú, že sú ovplyvnené viaceré distribúcie vrátane Debian, Ubuntu, Linux Mint, Zorin OS a Puppy Linux. Microsoft zatiaľ chybu verejne nepriznal, nevysvetlil, ako nebola odhalená počas testovania, ani neposkytol technickú radu pre dotknuté osoby. Zástupcovia spoločnosti neodpovedali na e-mail so žiadosťou o odpovede.

Bulletin spoločnosti Microsoft pre CVE-20220-2601 vysvetlil, že aktualizácia sa nainštaluje kóma— Mechanizmus Linuxu na prepísanie rôznych komponentov v zavádzacej ceste – ale iba na počítačoch nakonfigurovaných len na spustenie systému Windows. Týmto spôsobom nebude zabezpečené spustenie na počítačoch so systémom Windows zraniteľné voči útokom nesúcim balík GRUB, ktorý túto zraniteľnosť zneužíva. Spoločnosť Microsoft uistila používateľov, že ich systémy s dvoma systémami nebudú ovplyvnené, hoci varovala, že počítače so staršími verziami Linuxu môžu mať problémy.

„Hodnota SBAT sa nevzťahuje na systémy s dvojitým zavádzaním operačného systému Windows aj Linux a nemala by tieto systémy ovplyvňovať,“ píše sa v bulletine. „Možno zistíte, že súbory ISO pre staršie distribúcie Linuxu nefungujú. Ak sa to stane, obráťte sa na svojho dodávateľa Linuxu a získajte aktualizáciu.“

V skutočnosti modernizácia Má Je implementovaný na zariadeniach so systémom Windows aj Linux. To zahŕňa nielen zariadenia s dvojitým zavádzaním, ale aj zariadenia so systémom Windows, z ktorých možno spustiť Linux ISO obrazAlebo USB disk alebo optické médium. Okrem toho mnohé z postihnutých systémov používajú nedávno vydané verzie Linuxu, vrátane Ubuntu 24.04 a Debian 12.6.0.

Čo teraz?

Keď sa Microsoft zaviazal k tichu bezdrôtového pripojenia, tí, ktorých sa chyba týkala, boli nútení nájsť si vlastné riešenia. Jednou z možností je prístup k ich doske EFI a vypnutie zabezpečeného spustenia. V závislosti od bezpečnostných potrieb používateľa nemusí byť táto možnosť prijateľná. Najlepšou krátkodobou možnosťou je vymazať SBAT, ktorý Microsoft presadil minulý utorok. To znamená, že používatelia budú stále dostávať niektoré z výhod Secure Boot, aj keď zostanú zraniteľní voči útokom, ktoré využívajú CVE-2022-2601. Kroky tejto liečby boli vysvetlené tu (Ďakujem za Manothing (Pre referenciu).

Konkrétne kroky sú:

1. Vypnite Secure Boot
2. Prihláste sa do svojho používateľa Ubuntu a otvorte terminál
3. Vymažte politiku SBAT pomocou:

kód: Vybrať všetko

sudo mokutil –set-sbat-policy delete

4. Reštartujte počítač a prihláste sa späť do Ubuntu, aby ste aktualizovali politiku SBAT
5. Reštartujte a znova povoľte Secure Boot v systéme BIOS.

Tento incident je posledným, ktorý podčiarkuje, aké chaotické sa Secure Boot stalo, alebo možno vždy bolo. Za posledných 18 mesiacov výskumníci objavili najmenej štyri zraniteľné miesta, ktoré by mohli byť zneužité na úplné zničenie bezpečnostného mechanizmu. Predchádzajúci nedávny incident bol výsledkom testovacích kľúčov používaných na autentifikáciu Secure Boot na takmer 500 modeloch zariadení. Kľúče boli výrazne označené slovami „Nedôverujte“.

„Nakoniec, zatiaľ čo Secure Boot robí Windows bezpečnejším, zdá sa, že má rastúci súbor nedostatkov, kvôli ktorým nie je tak bezpečný, ako sa zamýšľalo,“ povedal Will Dorman, senior analytik zraniteľnosti v bezpečnostnej firme Analygence. „SecureBoot je zamotaný, pretože to nie je len hračka Microsoftu, aj keď majú kľúče od kráľovstva. Akákoľvek zraniteľnosť v komponente SecureBoot sa môže týkať iba systému Windows, ktorý podporuje SecureBoot. Preto musí Microsoft riešiť/zablokovať zraniteľné veci.“