Microsoftin tiistaina julkaisemassa käyttöjärjestelmäpäivityksessä Windows Latauksen epäonnistumisen aiheuttava ongelma on havaittu. Linux-järjestelmät, jotka on asennettu samalle tietokoneelle rinnakkain WindowsOngelman aiheuttaa korjaustiedosto, joka kohdistuu GRUB-käynnistyslataimen vanhaan haavoittuvuuteen (CVE-2022-2601), joka korjattiin vuonna 2022. Microsoft ei ole vielä julkaissut lausuntoa ongelmasta tai kommentoinut sitä.
Muutosmuistiossa todettiin, että korjaus uuden SBAT (UEFI Secure Boot Advanced Targeting) -käytännön käyttöönottoon sovellettaisiin järjestelmiin, jotka toimivat vain Windows eikä vaikuta kaksoiskäynnistyksen kokoonpanoihin (muutos esti käynnistyskuvien käytön vanhan GRUBin kanssa Secure Bootin ohittamiseksi järjestelmissä, joissa on vain Windows). Todettiin myös, että muutos saattaa aiheuttaa ongelmia GRUBin haavoittuvan version sisältävien vanhempien järjestelmien ISO-levykuvien käynnistämisessä. Itse asiassa ongelmista ovat raportoineet myös uudempia jakeluita käyttävät kaksoiskäynnistysjärjestelmien käyttäjät. LinuxKuten Ubuntu 24.04 ja Debian 12.6, jossa GRUBin haavoittuvuus on korjattu jo kauan sitten.
Ongelma ilmenee, kun käynnistysprosessi pysähtyy ja näyttöön tulee viesti "SBAT:n itsetarkistustietojen varmentaminen epäonnistui: Tietoturvakäytännön rikkominen. Jotain on mennyt vakavasti pieleen: SBAT:n itsetarkistus epäonnistui: Tietoturvakäytännön rikkominen." Palautusmenetelmänä on suositeltavaa poistaa UEFI:in asennetut SBAT-tiedot. Voit tehdä tämän poistamalla suojatun käynnistyksen käytöstä laiteohjelmistossa ja lataamalla uuden version. Linux- esimerkiksi jakelu, jossa on UEFI Secure Boot -tuki, Ubuntu, suorita konsolissa komento “mokutil --set-sbat-policy delete” ja käynnistä sitten uudelleen Linux- jakelu oikean SBAT-käytännön asentamiseen. Sen jälkeen voit palauttaa Secure Boot -tilan laiteohjelmistoon.
SBAT-mekanismin on kehittänyt Red Hat yhdessä Microsoftin kanssa estämään GRUB-käynnistyslataimen ja välilevykerroksen haavoittuvuudet ilman digitaalisen allekirjoituksen peruuttamista. SBAT sisältää metatietojen lisäämisen UEFI-komponenttien suoritettaviin tiedostoihin, jotka sisältävät valmistaja-, tuote-, komponentti- ja versiotiedot. Määritetyt metatiedot on sertifioitu digitaalisella allekirjoituksella, ja ne voidaan sisällyttää erikseen UEFI Secure Bootin sallittujen tai kiellettyjen komponenttien luetteloihin. SBAT:n avulla voit estää yksittäisten komponenttien versionumeroiden digitaalisten allekirjoitusten käytön ilman, että sinun tarvitsee peruuttaa suojatun käynnistyksen avaimia.
Haavoittuvuuksien estäminen SBAT:n kautta ei vaadi UEFI-varmenteen kumoamisluettelon (dbx) käyttöä, mutta se suoritetaan sisäisen avaimen korvaamisen tasolla allekirjoitusten luomiseksi ja GRUB2:n, välilevyn ja muiden jakelujen toimittamien käynnistysartefaktien päivittämiseksi. Ennen SBAT:n käyttöönottoa varmenteen peruutuslistan (dbx, UEFI Revocation List) päivittäminen oli edellytys haavoittuvuuden täydelliselle estämiselle, koska hyökkääjä saattoi käytetystä käyttöjärjestelmästä riippumatta käyttää käynnistysmediaa vanhan haavoittuvan GRUB2-version kanssa, sertifioitu digitaalisella allekirjoituksella UEFI Secure Bootin vaarantamiseksi.
Lähde: opennet.ru
