Az elmúlt hét kedden a Linux felhasználók tömegesen tapasztalták, hogy eszközeik nem tudtak elindulni. A hibaüzenet, amelyet kaptak, csak annyit mondott: „Valami komoly hiba történt.” Az ok: egy Microsoft által kiadott frissítés, amely a havi javítási csomag része volt, és célja egy két éve felfedezett sebezhetőség megszüntetése volt, amely a GRUB, egy nyílt forráskódú indítóprogram, használatával kapcsolatos.
A sebezhetőség, amelynek súlyossági besorolása 8.6 a 10-ből, lehetővé tette a hackerek számára, hogy megkerüljék a biztonságos indítást (Secure Boot), amely a Windows és más operációs rendszerek indításakor megakadályozza a káros firmware vagy szoftver betöltését. A CVE-2022-2601 az elmúlt évben került felfedezésre, de Microsoft csak a múlt héten javította.
Hatások a többszörös disztribúciókra
A keddi frissítés következtében a kettős indítású eszközök – amelyek Windows-t és Linux-ot is futtatnak – már nem tudtak Linux-ra bootolni, amikor a Secure Boot engedélyezve volt. Amikor a felhasználók megpróbálták betölteni a Linux-ot, a következő üzenetet kapták: „A shim SBAT adatok ellenőrzése meghiúsult: Biztonsági politika megsértése.” Szinte azonnal elárasztották a támogatói fórumokat a hibáról szóló jelentések.
„Megjegyzem, hogy a Windows azt állítja, hogy ez a frissítés nem vonatkozik a Windows és Linux kettős indítású rendszerekre,” írta egy frusztrált felhasználó. „Ez nyilvánvalóan nem igaz, és valószínűleg a rendszer konfigurációjától és a futó disztribúciótól függ.” A jelentések azt mutatják, hogy több disztribúció, beleértve a Debian-t, Ubuntu-t, Linux Mint-et és a Zorin OS-t, szintén érintett.
Microsoft reagálása
Microsoft még nem ismerte el nyilvánosan a hibát, és nem adott magyarázatot arra, hogy az miért nem került észlelésre a tesztelés során, vagy hogyan lehetne technikai útmutatást adni az érintetteknek. A cég képviselői nem válaszoltak az e-mailre, amely válaszokat keresett.
A Microsoft CVE-20220-2601-es bizonylata azt magyarázta, hogy a frissítés egy SBAT telepítése mellett történt, ami egy Linux mechanizmus a különböző összetevők visszavonására az indítási útvonalban, de csak azoknál az eszközöknél, amelyek csak Windows-t futtatnak. A Microsoft biztosította a felhasználókat, hogy a kettős indítású rendszerek nem fognak érintetté válni, habár figyelmeztettek, hogy a régebbi Linux verziókat futtató eszközök problémákat tapasztalhatnak.
Mit tehetünk?
A Microsoft csendes maradása miatt az érintett felhasználóknak saját megoldásokat kellett találniuk. Az egyik lehetőség az, hogy belépnek az EFI paneljükbe, és kikapcsolják a biztonságos indítást. A felhasználó biztonsági igényeitől függően ez a lehetőség nem biztos, hogy elfogadható. Egy jobb, rövid távú lehetőség az SBAT törlése, amelyet a Microsoft múlt kedden nyújtott be.
Érdekes tény: A Secure Boot mechanizmusának biztonsági hiányosságait kutatók az elmúlt 18 hónapban legalább négy alkalommal tárták fel.
Források:
Microsoft, CVE-2022-2601, Linux közösségi fórumok.