Microsoft güncellemesinden sonra çift önyükleme sistemleri “Ciddi bir hata oluştu” uyarısında bulunuyor

Geçtiğimiz Salı günü, çoğu bu yılın başlarında yayımlanan paketleri kullanan birkaç Linux kullanıcısı, makinelerinin önyükleme yapamadığını bildirmeye başladı. Bunun yerine şu ifadeyi içeren gizemli bir hata mesajı aldılar: “Ciddi bir hata oluştu.”

Sebep: A güncellemek Microsoft bu güncelleştirmeyi aylık yama sürümünün bir parçası olarak yayımladı. Kapatılması planlanıyordu İki yaşında zayıflık içinde kurtçukbirçok Linux cihazını başlatmak için kullanılan açık kaynaklı bir önyükleme yükleyicisi. Önem derecesi 10 üzerinden 8,6 olan güvenlik açığı, bilgisayar korsanlarının, Windows veya diğer işletim sistemlerini çalıştıran cihazların önyükleme işlemi sırasında ürün yazılımı veya kötü amaçlı yazılım yüklememesini sağlayan endüstri standardı olan Güvenli Önyüklemeyi atlamasına olanak tanıdı. CVE-2022-2601 2022’de keşfedildi, ancak belirsiz nedenlerden dolayı Microsoft bunu ancak geçen Salı günü yamaladı.

Hem yeni hem de eski birçok işletim sistemi etkilendi

Salı günkü güncelleme, çift önyüklemeli cihazların (yani hem Windows hem de Linux’u çalıştıracak şekilde yapılandırılmış olanların), Güvenli Önyükleme zorlandığında ikincisine önyükleme yapamamasına neden oldu. Kullanıcılar Linux’u yüklemeye çalıştıklarında şu mesajı aldılar: “SBAT dolgu veri kontrolü başarısız oldu: Güvenlik politikası ihlali. Ciddi bir hata oluştu: SBAT otomatik kontrolü başarısız oldu: Güvenlik politikası ihlali.” Neredeyse anında destekler Ve tartışma Forumlar aydınlandı ile Raporlar Takipçi başarısız olmak.

Sinirli bir kişi, “Windows’un bu güncellemenin Windows ve Linux çalıştıran sistemler için geçerli olmayacağını söylediğini unutmayın” diye yazdı. “Bu açıkça doğru değil ve muhtemelen çalıştığı sistem yapılandırmasına ve dağıtımına bağlı. Bu, bazı linux efi shim önyükleyicilerini microcrap efi önyükleyicileriyle uyumsuz hale getirmiş gibi görünüyor (bu nedenle MS efi’den dolguya geçiş işe yarıyor) “diğer OS” efi kurulumunda). Mint, MS SBAT’ın tanımadığı bir dolgu sürümüne sahip gibi görünüyor.”

Raporlar, Debian, Ubuntu, Linux Mint, Zorin OS ve Puppy Linux dahil olmak üzere birçok dağıtımın etkilendiğini gösteriyor. Microsoft henüz hatayı kamuya açık bir şekilde kabul etmedi, test sırasında nasıl keşfedilmediğini açıklamadı veya etkilenenlere teknik rehberlik sağlamadı. Şirket temsilcileri yanıt isteyen bir e-postaya yanıt vermedi.

Microsoft’un CVE-20220-2601 bülteni, güncellemenin yükleneceğini açıkladı koma— Önyükleme yolundaki çeşitli bileşenleri geçersiz kılmak için bir Linux mekanizması; ancak yalnızca Windows çalıştıracak şekilde yapılandırılmış makinelerde. Bu şekilde, Windows makinelerindeki Güvenli Önyükleme, bu güvenlik açığından yararlanan GRUB paketini taşıyan saldırılara karşı savunmasız olmayacaktır. Microsoft, kullanıcılara çift önyükleme sistemlerinin etkilenmeyeceğine dair güvence verdi, ancak eski Linux sürümlerini çalıştıran makinelerde sorunlar yaşanabileceği konusunda uyardı.

Bültende “SBAT değeri, hem Windows hem de Linux çalıştıran çift önyükleme sistemleri için geçerli değildir ve bu sistemleri etkilememesi gerekir” deniyor. “Eski Linux dağıtımlarında ISO dosyalarının çalışmadığını fark edebilirsiniz. Böyle bir durumda, bir güncelleme almak için Linux satıcınızla birlikte çalışın.”

Aslında modernleşme O var Hem Windows hem de Linux çalıştıran cihazlarda uygulanır. Bu, yalnızca çift önyükleme aygıtlarını değil aynı zamanda Linux’u çalıştırabilen Windows aygıtlarını da içerir. ISO görüntüsüVeya USB sürücüsü veya optik ortam. Ayrıca, etkilenen sistemlerin çoğu, Ubuntu 24.04 ve Debian 12.6.0 da dahil olmak üzere yakın zamanda piyasaya sürülen Linux sürümlerini çalıştırıyor.

Şimdi ne olacak?

Microsoft’un kablosuz sessizliği taahhüt etmesi nedeniyle kusurdan etkilenenler kendi çözümlerini bulmak zorunda kaldı. Seçeneklerden biri EFI kartına erişmek ve güvenli önyüklemeyi kapatmaktır. Kullanıcının güvenlik ihtiyaçlarına bağlı olarak bu seçenek kabul edilmeyebilir. Kısa vadeli en iyi seçenek, Microsoft’un geçen Salı günü uyguladığı SBAT’ı silmek. Bu, kullanıcıların CVE-2022-2601’den yararlanan saldırılara karşı savunmasız kalsalar bile Güvenli Önyüklemenin bazı avantajlarından yararlanmaya devam edecekleri anlamına gelir. Bu tedavinin adımları anlatıldı Burada (Teşekkürler Manthing (Referans için).

Belirli adımlar şunlardır:

1. Güvenli Önyüklemeyi Devre Dışı Bırakın
2. Ubuntu kullanıcınızda oturum açın ve terminali açın
3. SBAT politikasını şununla silin:

kod: Tümünü seç

sudo mokutil –set-sbat-policy silme

4. Bilgisayarınızı yeniden başlatın ve SBAT politikasını güncellemek için Ubuntu’da tekrar oturum açın
5. BIOS’ta Güvenli Önyüklemeyi yeniden başlatın ve yeniden etkinleştirin.

Bu olay, Güvenli Önyükleme’nin ne kadar karmaşık hale geldiğini veya belki de her zaman öyle olduğunu vurgulayan son olaydır. Geçtiğimiz 18 ay boyunca araştırmacılar, güvenlik mekanizmasını tamamen alt etmek için kullanılabilecek en az dört güvenlik açığı keşfettiler. Önceki olay, yaklaşık 500 cihaz modelinde Güvenli Önyükleme kimlik doğrulaması için kullanılan test anahtarlarının sonucuydu. Anahtarlar belirgin bir şekilde “Güvenmeyin” ifadesiyle işaretlenmişti.

Güvenlik firması Analygence’ın kıdemli güvenlik açığı analisti Will Dorman, “Sonuç olarak, Güvenli Önyükleme Windows’un daha güvenli çalışmasını sağlarken, onu amaçlandığı kadar güvenli hale getirmeyen, giderek artan sayıda kusura sahip gibi görünüyor” dedi. “SecureBoot her ne kadar krallığın anahtarlarını elinde tutsa da, yalnızca Microsoft’un oyuncağı olmadığı için ortalığı karıştırıyor. SecureBoot bileşenindeki herhangi bir güvenlik açığı yalnızca SecureBoot’u destekleyen Windows’u etkileyebilir. Bu nedenle Microsoft’un güvenlik açığı olan şeyleri ele alması/engellemesi gerekiyor.”