Microsoft ha rilasciato il 13 agosto la patch che risolve una vulnerabilità presente nel boot loader GRUB2 che potrebbe essere sfruttata per aggirare la protezione del Secure Boot. Molti utenti hanno segnalato che, in seguito all’installazione, non è più possibile avviare Linux in configurazioni dual boot. In attesa dell’eventuale fix dell’azienda di Redmond è disponibile una soluzione temporanea.
Come ripristinare il dual boot
La vulnerabilità CVE-2022-2601 è piuttosto grave (8.6 su 10), in quanto un buffer overflow in GRUB2 potrebbe consentire di aggirare il Secure Boot, la funzionalità dei firmware UEFI che blocca l’esecuzione dei malware (bootkit in particolare) all’avvio del computer. Non è noto perché Microsoft abbia deciso di rilasciare la patch dopo quasi due anni dalla scoperta della vulnerabilità. È certo però che l’installazione ha causato parecchi grattacapi.
Avviando Linux su computer configurati per il dual boot, gli utenti hanno visto questo messaggio di errore:
Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation
SBAT (Secure Boot Advanced Targeting) è un meccanismo che consente la revoca di componenti nel percorso di boot, mentre shim è il pacchetto software utilizzato come primo stadio del boot loader sui sistemi UEFI. Microsoft scrive nel bollettino di sicurezza che la patch aggiorna SBAT per bloccare boot loader vulnerabili. Il nuovo valore SBAT non dovrebbe influenzare i sistemi dual boot, ma eventualmente solo le vecchie distribuzioni Linux.
In realtà, l’aggiornamento ha bloccato l’avvio di Linux nei sistemi dual boot, inclusi quelli che usano le ultime versioni delle distribuzioni Linux. Microsoft non ha confermato il problema, né fornito un workaround. Alcuni utenti hanno suggerito di disattivare Secure Boot, accedere a Linux e cancellare la policy SBAT con questo comando:
sudo mokutil --set-sbat-policy delete
Al successivo riavvio e login in Linux deve essere aggiornata la policy SBAT. Dopo un ulteriore riavvio può essere riattivato Secure Boot.
Aggiornamento (22/08/2024)
Microsoft ha confermato il problema. Gli utenti che non hanno ancora riavviato il computer al termine del download dell’aggiornamento cumulativo del 13 agosto possono impedire l’installazione della policy SBAT con questo comando che aggiunge una chiave al registro di Windows (servono i diritti di amministratore):
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD