Thứ Ba tuần trước, một số người dùng Linux – nhiều người trong số họ sử dụng các gói được phát hành đầu năm nay – đã bắt đầu báo cáo rằng máy của họ không khởi động được. Thay vào đó, họ nhận được một thông báo lỗi bí ẩn bao gồm cụm từ sau: “Đã xảy ra lỗi nghiêm trọng”.

Lý do: A để cập nhật Microsoft đã phát hành bản cập nhật này như một phần của bản vá lỗi hàng tháng. Nó được dự định để đóng Điểm yếu ở tuổi hai năm TRONG sâu bọmột bộ tải khởi động nguồn mở được sử dụng để khởi động nhiều thiết bị Linux. Lỗ hổng có điểm nghiêm trọng là 8,6/10 cho phép tin tặc vượt qua Secure Boot, tiêu chuẩn ngành để đảm bảo rằng các thiết bị chạy Windows hoặc hệ điều hành khác không tải chương trình cơ sở hoặc phần mềm độc hại trong quá trình khởi động. CVE-2022-2601 được phát hiện vào năm 2022 nhưng không rõ lý do nên Microsoft mới vá nó vào thứ Ba tuần trước.

Nhiều hệ điều hành cả mới lẫn cũ đều bị ảnh hưởng

Bản cập nhật hôm thứ Ba khiến các thiết bị khởi động kép – nghĩa là những thiết bị được định cấu hình để chạy cả Windows và Linux – không thể khởi động vào thiết bị sau khi buộc phải Khởi động an toàn. Khi người dùng cố tải Linux, họ nhận được thông báo: “Kiểm tra dữ liệu shim SBAT không thành công: Vi phạm chính sách bảo mật. Đã xảy ra lỗi nghiêm trọng: Tự kiểm tra SBAT không thành công: Vi phạm chính sách bảo mật.” Gần như ngay lập tức hỗ trợ Và cuộc thảo luận Diễn đàn sáng lên với Báo cáo cấp dưới thất bại.

“Lưu ý rằng Windows cho biết bản cập nhật này sẽ không áp dụng cho các hệ thống chạy Windows và Linux,” một người bức xúc viết. “Điều này rõ ràng là không đúng và có thể phụ thuộc vào cấu hình hệ thống và bản phân phối mà nó đang chạy. Điều này dường như đã khiến một số bộ tải khởi động linux efi shim không tương thích với bộ tải khởi động microcrap efi (đó là lý do tại sao việc chuyển từ MS efi sang shim lại hoạt động) “other OS” trong thiết lập efi). Mint dường như có phiên bản shim mà MS SBAT không nhận ra.”

Các báo cáo chỉ ra rằng một số bản phân phối, bao gồm Debian, Ubuntu, Linux Mint, Zorin OS và Puppy Linux, đều bị ảnh hưởng. Microsoft vẫn chưa công khai thừa nhận lỗi này, giải thích tại sao nó không được phát hiện trong quá trình thử nghiệm hoặc cung cấp hướng dẫn kỹ thuật cho những người bị ảnh hưởng. Đại diện công ty đã không trả lời email yêu cầu câu trả lời.

Bản tin của Microsoft cho CVE-20220-2601 giải thích rằng bản cập nhật sẽ cài đặt hôn mê— Một cơ chế Linux để ghi đè các thành phần khác nhau trong đường dẫn khởi động—nhưng chỉ trên các máy được cấu hình để chỉ chạy Windows. Bằng cách này, Secure Boot trên máy Windows sẽ không dễ bị tấn công mang gói GRUB khai thác lỗ hổng. Microsoft đã đảm bảo với người dùng rằng hệ thống khởi động kép của họ sẽ không bị ảnh hưởng, mặc dù họ đã cảnh báo rằng các máy chạy phiên bản Linux cũ hơn có thể gặp sự cố.

Bản tin cho biết: “Giá trị SBAT không áp dụng cho các hệ thống khởi động kép chạy cả Windows và Linux và sẽ không ảnh hưởng đến các hệ thống này”. “Bạn có thể thấy rằng các tệp ISO cho các bản phân phối Linux cũ hơn không hoạt động. Nếu điều này xảy ra, hãy làm việc với nhà cung cấp Linux của bạn để nhận bản cập nhật.”

Trên thực tế, hiện đại hóa Anh ấy có Nó được triển khai trên các thiết bị chạy cả Windows và Linux. Điều này không chỉ bao gồm các thiết bị khởi động kép mà còn cả các thiết bị Windows có thể chạy Linux từ ảnh ISOHoặc ổ USB hoặc phương tiện quang học. Hơn nữa, nhiều hệ thống bị ảnh hưởng đang chạy các phiên bản Linux được phát hành gần đây, bao gồm Ubuntu 24.04 và Debian 12.6.0.

Bây giờ thì sao?

Với việc Microsoft cam kết im lặng trong mạng không dây, những người bị ảnh hưởng bởi lỗ hổng này buộc phải tìm ra giải pháp của riêng mình. Một tùy chọn là truy cập bảng EFI của họ và tắt khởi động an toàn. Tùy thuộc vào nhu cầu bảo mật của người dùng, tùy chọn này có thể không được chấp nhận. Tùy chọn ngắn hạn tốt nhất là xóa SBAT mà Microsoft đã đưa ra vào thứ Ba tuần trước. Điều này có nghĩa là người dùng vẫn sẽ nhận được một số lợi ích của Khởi động an toàn ngay cả khi họ vẫn dễ bị tấn công khai thác CVE-2022-2601. Các bước điều trị này đã được giải thích đây (Cảm ơn vì điều khiển (Để tham khảo).

Các bước cụ thể là:

1. Tắt khởi động an toàn
2. Đăng nhập vào người dùng Ubuntu của bạn và mở terminal
3. Xóa chính sách SBAT bằng:

mã số: Chọn tất cả

sudo mokutil –set-sbat-policy xóa

4. Khởi động lại máy tính của bạn và đăng nhập lại vào Ubuntu để cập nhật chính sách SBAT
5. Khởi động lại và kích hoạt lại Khởi động an toàn trong BIOS.

Sự cố này là sự cố mới nhất cho thấy Secure Boot đã trở nên lộn xộn như thế nào hoặc có lẽ nó luôn như vậy. Trong 18 tháng qua, các nhà nghiên cứu đã phát hiện ra ít nhất 4 lỗ hổng có thể bị khai thác để đánh bại hoàn toàn cơ chế bảo mật. Sự cố gần đây trước đó là kết quả của các khóa kiểm tra được sử dụng để xác thực Secure Boot trên gần 500 mẫu thiết bị. Các phím được đánh dấu nổi bật với dòng chữ “Đừng tin tưởng”.

Will Dorman, nhà phân tích lỗ hổng cấp cao tại công ty bảo mật Analygence, cho biết: “Cuối cùng, mặc dù Secure Boot giúp Windows chạy an toàn hơn nhưng dường như nó ngày càng có nhiều lỗ hổng khiến nó không hoàn toàn an toàn như dự định”. “SecureBoot trở nên lộn xộn vì nó không chỉ là món đồ chơi của Microsoft, mặc dù họ nắm giữ chìa khóa của vương quốc. Bất kỳ lỗ hổng nào trong thành phần SecureBoot chỉ có thể ảnh hưởng đến Windows hỗ trợ SecureBoot. Do đó, Microsoft phải giải quyết/chặn những thứ dễ bị tấn công.”