Oživeno 22. srpna | Microsoft potvrdil, že jeho aktualizace KB5041585 a KB5041580 mohou chod linuxového zavaděče ovlivnit. Pokud na dotčeném počítači vedle Windows používáte ještě linuxovou distribuci, aktualizace by se skutečně měla níže uvedenému zásahu do zavaděče vyhnout.
Jenže do něj stejně zasáhne, protože selhává detekce druhého operačního systému. Než Microsoft vyrukuje s opravou, nabízí dočasné řešení. Zásahem do registru můžete aplikaci úpravy zavaděče zakázat, ale jen v případě, že jste instalaci aktualizace KB5041585 ještě nedokončili.
Po restartu počítače je už změna provedená. Vložte do Poznámkového bloku následující text: reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD. Soubor uložte s příponou REG.
Jednoduchou úpravou registru předejdete aplikaci úpravy zavaděče GRUB
Poklepáním na soubor přidejte hodnotu do registru. Posléze můžete instalaci servisní aktualizace pro Windows 10/11 dokončit, na zavaděč nesáhne. Později hodnotu z registru zase odstranit a oprava se aplikuje. Microsoft doporučuje, abyste před úpravou registr zálohovali. Měli byste také vědět, jak jej případně obnovit. Na webu podpory najdete nápovědu.
Původní článek z 21. srpna | Bezpečnostní aktualizace od Microsoftu se nainstalovala na nesprávné počítače a aspoň v některých případech znemožnila spouštění linuxových distribucí, které jsou na těchto strojích nainstalované vedle Windows. Firma situaci zatím nekomentuje, jak popisuje magazín Ars Technica, jenž na případ upozornil.
V rámci pravidelného cyklu Microsoft vydal záplatu, a opravil tak dva roky starou díru CVE-2022-2601. Jde o zranitelné místo v zavaděči GRUB (do verze 2.06), který se běžně používá, když chcete mít na počítači více než jeden operační systém. Útočník mohl využít přetečení zásobníku k prolomení protokolu Secure boot.
Secure boot se používá od roku 2012. Microsoft ho prosadil, aby znemožnil malwaru řádit ještě před startem operačního systému. Kontroluje, že jsou softwary důvěryhodné, přičemž důvěryhodnost indikují podpisy. Popsaná díra získala hodnocení 8,6 bodu z deseti na škále závažnosti CVSS 3.1. Jde tedy o vysokou hodnotu, byť Microsoft zneužití považuje za méně pravděpodobné.
Srpnová záplata se s děravým zavaděčem GRUB vypořádala tak, že ho zneškodnila mechanismem Secure Boot Advanced Targeting (SBAT). Děravý zavaděč nemůže být zneužitý k distribuci malwaru, současně ale ani neposlouží k zavedení operačního systému.
V popisu záplaty na webu podpory Microsoftu zřetelně stojí, že mechanismus SBAT nebude aplikován na těch počítačích, kde je vedle Windows nainstalovaná některá z linuxových distribucí. Jenže k tomu zjevně aspoň v některých případech došlo. Lidé na různých sociálních platformách hlásí, že jejich operační systémy nestartují.
Aktualizace neměla být aplikována na strojích s Linuxem
Zavaděč se pouze krátce odvolá právě na SBAT s tím, že dochází porušení bezpečnostních zásad. Pak se počítač vypne. Na fóru linuxové distribuce Ubuntu se doporučuje následující řešení, které vrací zpět změnu zavedenou nedávnou aktualizací od Microsoftu:
- Vypněte Secure boot v nastavení UEFI.
- Přihlaste se k Ubuntu a do terminálu zadejte příkaz:
sudo mokutil --set-sbat-policy delete.
- Restartujte počítač a přihlaste se k uživatelskému účtu.
- Restartujte počítač a znovu aktivujte Secure boot.
Můžete také trvale vypnout Secure boot, čímž ale svůj počítač ponecháváte výrazně otevřenější útokům malwaru na spouštěcí sekvenci. Sice se v posledních dvou letech našlo více zranitelných míst, i tak je problematický Secure boot momentálně lepší než nic.
Zdroje: Ask Ubuntu | Ars Technica | CVE | GNU GRUB Manual 2.12 | Linux Mint Forums | MSRC | Reddit (1, 2)