Getty Images
Την περασμένη Τρίτη, αρκετοί χρήστες Linux – πολλοί από τους οποίους χρησιμοποιούν πακέτα που κυκλοφόρησαν στις αρχές του τρέχοντος έτους – άρχισαν να αναφέρουν ότι οι μηχανές τους αποτυγχάνουν να εκκινήσουν. Αντίθετα, έλαβαν ένα μυστηριώδες μήνυμα σφάλματος που περιελάμβανε την ακόλουθη φράση: “Παρουσιάστηκε σοβαρό σφάλμα”.
Αιτία: Α για ενημέρωση Η Microsoft κυκλοφόρησε αυτήν την ενημέρωση ως μέρος της μηνιαίας έκδοσης ενημέρωσης κώδικα. Είχε σκοπό να κλείσει Αδυναμία σε ηλικία δύο ετών σε κάμπιαένας φορτωτής εκκίνησης ανοιχτού κώδικα που χρησιμοποιείται για την εκκίνηση πολλών συσκευών Linux. Η ευπάθεια, με βαθμολογία σοβαρότητας 8,6 στα 10, επέτρεψε στους χάκερ να παρακάμψουν το Secure Boot, το βιομηχανικό πρότυπο για τη διασφάλιση ότι οι συσκευές με Windows ή άλλα λειτουργικά συστήματα δεν φορτώνουν υλικολογισμικό ή κακόβουλο λογισμικό κατά τη διαδικασία εκκίνησης. Το CVE-2022-2601 ανακαλύφθηκε το 2022, αλλά για ασαφείς λόγους, η Microsoft το διορθώθηκε μόλις την περασμένη Τρίτη.
Πολλά λειτουργικά συστήματα, τόσο νέα όσο και παλιά, επηρεάζονται
Η ενημέρωση της Τρίτης άφησε τις συσκευές διπλής εκκίνησης – δηλαδή αυτές που έχουν ρυθμιστεί να τρέχουν Windows και Linux – δεν μπορούσαν να εκκινήσουν στο τελευταίο όταν αναγκάστηκε η Ασφαλής εκκίνηση. Όταν οι χρήστες προσπάθησαν να φορτώσουν το Linux, έλαβαν το μήνυμα: “Αποτυχία ελέγχου δεδομένων SBAT shim: Παράβαση πολιτικής ασφαλείας. Παρουσιάστηκε σοβαρό σφάλμα: Ο αυτοέλεγχος SBAT απέτυχε: Παράβαση πολιτικής ασφαλείας.” Σχεδόν αμέσως υποστηρίζει και συζήτηση Φόρουμ άναψε με Αναφορές Οπαδός να αποτύχει.
«Λάβετε υπόψη ότι τα Windows λένε ότι αυτή η ενημέρωση δεν θα ισχύει για συστήματα με Windows και Linux», έγραψε ένα απογοητευμένο άτομο. “Αυτό προφανώς δεν είναι αλήθεια και είναι πιθανό να εξαρτάται από τη διαμόρφωση του συστήματος και τη διανομή που εκτελείται. Αυτό φαίνεται ότι έκανε ορισμένους bootloaders efi shim linux ασυμβίβαστους με τους bootloaders microcrap efi (γι' αυτό λειτουργεί η εναλλαγή από MS efi σε shim) “άλλο OS” στο efi setup). Το Mint φαίνεται να έχει μια έκδοση shim που το MS SBAT δεν αναγνωρίζει.”
Οι αναφορές δείχνουν ότι πολλές διανομές, συμπεριλαμβανομένων των Debian, Ubuntu, Linux Mint, Zorin OS και Puppy Linux, επηρεάζονται όλες. Η Microsoft δεν έχει ακόμη αναγνωρίσει δημόσια το σφάλμα, δεν έχει εξηγήσει πώς δεν ανακαλύφθηκε κατά τη διάρκεια των δοκιμών ή δεν παρείχε τεχνική καθοδήγηση για όσους επηρεάστηκαν. Οι εκπρόσωποι της εταιρείας δεν απάντησαν σε email που ζητούσε απαντήσεις.
Το ενημερωτικό δελτίο της Microsoft για το CVE-20220-2601 εξήγησε ότι η ενημέρωση θα εγκατασταθεί κώμα— Ένας μηχανισμός Linux για την παράκαμψη διαφόρων στοιχείων στη διαδρομή εκκίνησης—αλλά μόνο σε μηχανήματα που έχουν ρυθμιστεί να εκτελούν μόνο Windows. Με αυτόν τον τρόπο, το Secure Boot σε μηχανήματα Windows δεν θα είναι ευάλωτο σε επιθέσεις που φέρουν ένα πακέτο GRUB που εκμεταλλεύεται την ευπάθεια. Η Microsoft έχει διαβεβαιώσει τους χρήστες ότι τα συστήματα διπλής εκκίνησης τους δεν θα επηρεαστούν, αν και έχει προειδοποιήσει ότι τα μηχανήματα που εκτελούν παλαιότερες εκδόσεις Linux ενδέχεται να αντιμετωπίσουν προβλήματα.
«Η τιμή SBAT δεν ισχύει για συστήματα διπλής εκκίνησης με Windows και Linux και δεν πρέπει να επηρεάζει αυτά τα συστήματα», αναφέρει το δελτίο. “Μπορεί να διαπιστώσετε ότι τα αρχεία ISO για παλαιότερες διανομές Linux δεν λειτουργούν. Εάν συμβεί αυτό, συνεργαστείτε με τον προμηθευτή σας Linux για να λάβετε μια ενημέρωση.”
Στην πραγματικότητα, εκσυγχρονισμός Έχει Εφαρμόζεται σε συσκευές με Windows και Linux. Αυτό περιλαμβάνει όχι μόνο συσκευές διπλής εκκίνησης αλλά και συσκευές Windows που μπορούν να εκτελούν Linux από εικόνα ISOΉ μονάδα USB ή οπτικά μέσα. Επιπλέον, πολλά από τα επηρεαζόμενα συστήματα εκτελούν εκδόσεις Linux που κυκλοφόρησαν πρόσφατα, συμπεριλαμβανομένων των Ubuntu 24.04 και Debian 12.6.0.
Τι τώρα;
Με τη Microsoft δεσμευμένη στην ασύρματη σιωπή, όσοι επηρεάζονταν από το ελάττωμα αναγκάστηκαν να βρουν τις δικές τους λύσεις. Μια επιλογή είναι να αποκτήσετε πρόσβαση στην πλακέτα EFI και να απενεργοποιήσετε την ασφαλή εκκίνηση. Ανάλογα με τις ανάγκες ασφαλείας του χρήστη, αυτή η επιλογή ενδέχεται να μην είναι αποδεκτή. Η καλύτερη βραχυπρόθεσμη επιλογή είναι να διαγράψετε το SBAT που ώθησε η Microsoft την περασμένη Τρίτη. Αυτό σημαίνει ότι οι χρήστες θα εξακολουθούν να λαμβάνουν ορισμένα από τα πλεονεκτήματα της Ασφαλούς εκκίνησης ακόμη και αν παραμένουν ευάλωτοι σε επιθέσεις που εκμεταλλεύονται το CVE-2022-2601. Τα βήματα αυτής της θεραπείας έχουν εξηγηθεί εδώ (Ευχαριστώ για Manothing (Για αναφορά).
Τα συγκεκριμένα βήματα είναι:
1. Απενεργοποιήστε την Ασφαλή εκκίνηση
2. Συνδεθείτε στον χρήστη του Ubuntu και ανοίξτε το τερματικό
3. Διαγράψτε την πολιτική SBAT με:κώδικας: Επιλέξτε όλα
sudo mokutil –set-sbat-policy delete
4. Επανεκκινήστε τον υπολογιστή σας και συνδεθείτε ξανά στο Ubuntu για να ενημερώσετε την πολιτική SBAT
5. Επανεκκινήστε και ενεργοποιήστε ξανά το Secure Boot στο BIOS.
Αυτό το περιστατικό είναι το τελευταίο που υπογραμμίζει πόσο ακατάστατο έχει γίνει το Secure Boot, ή ίσως ήταν πάντα. Τους τελευταίους 18 μήνες, οι ερευνητές ανακάλυψαν τουλάχιστον τέσσερα τρωτά σημεία που θα μπορούσαν να εκμεταλλευτούν για να νικήσουν πλήρως τον μηχανισμό ασφαλείας. Το προηγούμενο πρόσφατο περιστατικό ήταν το αποτέλεσμα των κλειδιών δοκιμής που χρησιμοποιήθηκαν για τον έλεγχο ταυτότητας ασφαλούς εκκίνησης σε σχεδόν 500 μοντέλα συσκευών. Τα κλειδιά σημειώνονταν σε περίοπτη θέση με τις λέξεις «Μην εμπιστεύεσαι».
«Τελικά, ενώ το Secure Boot κάνει τα Windows να λειτουργούν πιο ασφαλή, φαίνεται να έχει ένα αυξανόμενο σύνολο ελαττωμάτων που τα καθιστούν όχι τόσο ασφαλή όσο έπρεπε», δήλωσε ο Will Dorman, ανώτερος αναλυτής ευπάθειας στην εταιρεία ασφαλείας Analygence. “Το SecureBoot γίνεται ακατάστατο επειδή δεν είναι απλώς το παιχνίδι της Microsoft, παρόλο που κρατά τα κλειδιά του βασιλείου. Οποιαδήποτε ευπάθεια σε ένα στοιχείο SecureBoot μπορεί να επηρεάσει μόνο τα Windows που υποστηρίζουν SecureBoot. Επομένως, η Microsoft πρέπει να αντιμετωπίσει/αποκλείσει τα ευάλωτα πράγματα.”
“Τηλεοπτικός γκουρού. Υποστηρικτής της ζόμπι. Οπαδός του διαδικτύου. Πιστοποιημένος μπύρας. Υπερήφανος αναγνώστης. Φανταστικός αλκοόλ. Βραβευμένος επιχειρηματίας.”