I en operativsystemuppdatering som Microsoft släppte på tisdagen, Windows Ett problem har identifierats som orsakar att nedladdningen misslyckas. Linux-system installerade på samma dator parallellt med WindowsProblemet orsakas av en patch som riktar sig mot en gammal sårbarhet (CVE-2022-2601) i GRUB-bootloadern, vilken patchades 2022. Microsoft har ännu inte släppt något uttalande angående problemet eller kommenterat det.
Ändringsnoteringen angav att en korrigering för att aktivera den nya SBAT-policyn (UEFI Secure Boot Advanced Targeting) skulle tillämpas på system som endast körs Windows och kommer inte att påverka konfigurationer för dubbelstart (ändringen blockerade möjligheten att använda startavbildningar med den gamla GRUB för att kringgå säker start på system som bara har WindowsDet noterades också att ändringen kunde orsaka problem med att starta ISO-avbildningar av äldre system som levererades med en sårbar version av GRUB. Problem har faktiskt också rapporterats av användare av system med dubbelstart som använder nyare distributioner. Linuxsåsom Ubuntu 24.04 och Debian 12.6, där sårbarheten i GRUB sedan länge har åtgärdats.
Problemet uppstår när startprocessen avbryts med meddelandet "Verifiering av SBAT-självkontrolldata misslyckades: Brott mot säkerhetspolicy. Något har gått allvarligt fel: SBAT-självkontrollen misslyckades: Brott mot säkerhetspolicy." Som en återställningsmetod rekommenderas att radera SBAT-data som är installerade i UEFI. För att göra detta kan du inaktivera säker start i den inbyggda programvaran och ladda ner en ny. Linux- en distribution med stöd för UEFI Secure Boot, till exempel, Ubuntu, kör kommandot "mokutil --set-sbat-policy delete" i konsolen och starta sedan om Linux- en distribution för att installera rätt SBAT-policy. Därefter kan du återställa säkert startläge i firmware.
SBAT-mekanismen utvecklades av Red Hat i samarbete med Microsoft för att blockera sårbarheter i GRUB-bootloadern och shim-lagret utan att återkalla den digitala signaturen. SBAT innebär att ytterligare metadata läggs till i UEFI-komponentens körbara filer, inklusive information om tillverkare, produkt, komponent och version. De angivna metadata är digitalt signerade och kan inkluderas separat i listorna över tillåtna eller förbjudna komponenter för UEFI Secure Boot. Med SBAT kan du blockera användningen av digitala signaturer för enskilda komponenters versionsnummer utan att behöva återkalla Secure Boot-nycklar.
Blockering av sårbarheter via SBAT kräver inte användning av UEFI Certificate Revocation List (dbx), utan utförs på nivån att ersätta den interna nyckeln för att generera signaturer och uppdatera GRUB2, shim och andra startatefakter som tillhandahålls av distributioner. Innan SBAT infördes var uppdatering av listan över återkallade certifikat (dbx, UEFI Revocation List) ett obligatoriskt villkor för att helt blockera sårbarheten, eftersom en angripare, oavsett vilket operativsystem som användes, kunde använda startmedia med en gammal sårbar version av GRUB2, certifierad med en digital signatur, för att kompromettera UEFI Secure Boot.
Källa: opennet.ru
