Een recente Windows-update die een twee jaar oude kwetsbaarheid verhelpt, blijkt voor problemen te zorgen bij dual-boot devices die zowel Windows als Linux kunnen draaien. Wanneer gebruikers proberen Linux te starten, krijgen ze een melding met de dreigende tekst ‘Something has gone seriously wrong’.
Gebruikers van allerlei verschillende Linux-distributies maken melding van de fout, dat zich onder andere voordoet bij de distro’s Debian, Ubuntu, Linux Mint, Zorin OS en Puppy Linux, meldt Ars Technica.
De patch die Microsoft tijdens de laatste Patch Tuesday heeft uitgedaan verhelpt een kwetsbaarheid in bootloader GRUB die kwaadwillenden in staat stelde Secure Boot te omzeilen. Het ging om de kwetsbaarheid CVE-2022-260, die al uit 2022 stamt maar nu pas is verholpen.
Onbedoeld bijeffect van de patch lijkt echter te zijn dat gebruikers van dual-boot-systemen niet langer Linux kunnen opstarten. De volledige foutmelding die op het scherm verschijnt luidt “Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation”. Daarna sluit het apparaat zichzelf af.
Tegenstrijdig bericht
Microsoft heeft niet gereageerd op de fout, al staat in de eigen documentatie van het bedrijf inzake de gepatchte kwetsbaarheid (waar het oorspronkelijk tenslotte om te doen was) dat de update Secure Boot Advanced Targeting (SBAT) updatet die kwetsbare Linux bootloaders blokkeert. In die documentatie staat dat de update niet van toepassing is op dual boot-systemen, maar dat oude Linux-distro’s mogelijk niet meer opstarten. Wanneer dat onverhoopt gebeurt, adviseert Microsoft een update van de verouderde distro.
In de praktijk lijkt het probleem dus aardig wat persistenter te zijn dan Microsoft het doet lijken. Het is niet te verhelpen door de SBAT policy te verwijderen, evenmin door Windows van het apparaat te gooien of Secure Boot te resetten naar de oorspronkelijke instellingen. De enige oplossing tot nu toe is Secure Boot uitzetten, de nieuwste versie van de gebruikte Linux-distro installeren en daarna Secure Boot weer aanzetten.
Update 22/08/2024: Microsoft heeft de fout inmiddels toegegeven en adviseert gebruikers die nog niet hebben geüpdatet om een opt-out Registry Key te te voegen om te voorkomen dat SBAT updatet. Het gaat om deze key:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD
Wanneer het probleem definitief is verholpen, kunnen admins de registry key weer verwijderen.
Lees ook: Patch Tuesday repareert 6 actief misbruikte kwetsbaarheden