Обновление Microsoft заблокировало системы Linux по всему миру

На прошлой неделе множество пользователей Linux столкнулись с серьезной проблемой: их устройства перестали загружаться после обновления, выпущенного Microsoft в рамках Patch Tuesday . Вместо нормального запуска системы отображалось сообщение об ошибке.

Причиной стала ошибка в обновлении, устраняющим двухлетнюю уязвимость в GRUB — загрузчике, используемом для запуска многих устройств на Linux.

Уязвимость CVE-2022-2601 (оценка CVSS: 8.6) позволяла злоумышленникам обходить Secure Boot — стандарт безопасности, гарантирующий, что устройства не загружают вредоносное ПО или прошивку во время запуска. Уязвимость была обнаружена еще в 2022 году, но по неизвестным причинам Microsoft исправила её только сейчас.

Обновление затронуло устройства с двойной загрузкой (dual-boot), на которых установлены как Windows, так и Linux. При попытке загрузить Linux пользователи сталкивались с сообщением: «Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation».

Вскоре форумы поддержки и обсуждений заполнились сообщениями о проблеме. Пользователи отмечали, что, несмотря на заверения Microsoft, обновление действительно затронуло системы с двойной загрузкой. По словам пользователей, ошибка связана с несовместимостью некоторых версий загрузчика Linux с новым микрокодом EFI от Microsoft. Среди пострадавших оказались такие популярные дистрибутивы, как Debian, Ubuntu, Linux Mint, Zorin OS и Puppy Linux.

Microsoft пока не признала публично наличие ошибки, не объяснила, почему она не была выявлена во время тестирования, и не предоставила технических рекомендаций для пострадавших пользователей. В бюллетене для CVE-2022-2601 Microsoft заверила, что обновление установит SBAT — механизм Linux для отзыва различных компонентов в пути загрузки — но только на устройствах, работающим исключительно на Windows. Обновление не должно было затронуть системы с двойной загрузкой. Однако на практике это оказалось не так, что вызвало возмущение среди пользователей.

Некоторые пользователи нашли временное решение проблемы — отключение Secure Boot через панель EFI. Однако такой метод может быть неприемлемым для тех, кто нуждается в защите Secure Boot. Другой вариант — удалить политику SBAT, внедренную Microsoft.

---

Конкретные шаги:

1. Отключите Secure Boot;
2. Войдите в систему как пользователь Ubuntu и откройте терминал;
3. Удалите политику SBAT с помощью: sudo mokutil --set-sbat-policy delete
4. Перезагрузите компьютер и снова войдите в Ubuntu, чтобы обновить политику SBAT;
5. Перезагрузите компьютер, а затем снова включите Secure Boot в BIOS.

---

Такие действия позволят сохранить часть преимуществ Secure Boot, даже если пользователи останутся уязвимыми для атак.