Ошибка Microsoft вызвала сбой в системах с Linux и Windows на борту.
Сбой произошёл на прошлой неделе: устройства массово перестали загружать Linux после того, как был установлен ежемесячный патч безопасности Patch Tuesday, выпущенный Microsoft. Операционные системы перестали запускаться, вместо этого появлялось сообщение об ошибке.
Причиной массового сбоя стала ошибка в обновлении, которое устраняло известную уже около двух лет уязвимость в загрузчике GRUB, используемом для запуска не только операционных систем Windows, но и Linux.
Уязвимость под названием CVE-2022-2601 получила по шкале оценки уязвимостей CVSS 8,6 баллов, что считается высоким уровнем. Но несмотря на это Microsoft не спешила её исправлять. Из-за CVE-2022-2601 киберпреступники могли обходить Secure Boot, то есть, теоретически, устройства с уязвимостью могли беспрепятственно загружать вредоносное программное обеспечение при запуске ОС.
Обновление вызвало сбой на устройствах с двумя установленными системами: Windows и Linux. На таких устройствах при включении сначала загружается GRUB, предлагающий выбрать ОС для дальнейшей загрузки. При попытке загрузить Linux-систему появлялось сообщение о нарушении политики безопасности.
Пострадавшие пользователи считают, что ошибка появилась из-за несовместимости некоторых версий загрузчика Linux с новым микрокодом EFI от Microsoft. От патча безопасности пострадали Debian, Ubuntu, Linux Mint, Zorin OS и Puppy Linux.
Тем временем Microsoft не спешит признавать наличие ошибки, компания не объяснила, как получилось, что столь важную ошибку не смогли обнаружить во время тестирования, также как не дала никаких технических рекомендаций по восстановлению пострадавших систем.
Обновление CVE-2022-2601 устанавливает SBAT — механизм Linux, который отзывает загружающиеся компоненты; но по заверению Microsoft, это должно было происходить только на Windows-устройствах, не касаясь устройств с dual-boot.
В ожидании реакции и разъяснений от Microsoft пострадавшие пользователи самостоятельно ищут решение проблемы. Один из способов — отключить Secure Boot в панели EFI, но это действие лишает защиты Secure Boot и поэтому может подойти только как временное решение.
Также проблему решает удаление SBAT, для этого нужно сделать следующее:
- Отключите Secure Boot.
- Запустите Linux-систему.
- Через терминал запустите команду «sudo mokutil —set-sbat-policy delete», удаляющую политику SBAT.
- Перезагрузите ПК, дайте запуститься Linux для обновления настроек.
- Запустите перезагрузку и включите Secure Boot в BIOS.
После удаления SBAT пользователи сохраняют преимущества Secure Boot, хотя устройство может оказаться уязвимым для некоторых типов атак.
Читайте в блоге: