El martes pasado, varios usuarios de Linux (muchos de ellos usando paquetes lanzados a principios de este año) comenzaron a informar que sus máquinas no arrancaban. En cambio, recibieron un misterioso mensaje de error que incluía la siguiente frase: «Se ha producido un error grave».

Razón: A actualizar Microsoft lanzó esta actualización como parte de su parche mensual. Se pretendía cerrar Debilidad a la edad de dos años. en comidaun cargador de arranque de código abierto que se utiliza para iniciar muchos dispositivos Linux. La vulnerabilidad, con una puntuación de gravedad de 8,6 sobre 10, permitió a los piratas informáticos eludir el arranque seguro, el estándar de la industria para garantizar que los dispositivos que ejecutan Windows u otros sistemas operativos no carguen firmware o malware durante el proceso de arranque. CVE-2022-2601 se descubrió en 2022, pero por razones poco claras, Microsoft lo parchó el martes pasado.

Muchos sistemas operativos, tanto nuevos como antiguos, se ven afectados

La actualización del martes dejó a los dispositivos con arranque dual, es decir, aquellos configurados para ejecutar Windows y Linux, incapaces de arrancar en este último cuando se forzó el arranque seguro. Cuando los usuarios intentaban cargar Linux, recibían el mensaje: «Error en la verificación de datos de corrección de SBAT: infracción de la política de seguridad. Se produjo un error grave: error en la autocomprobación de SBAT: infracción de la política de seguridad». Casi al instante apoya y discusión Foros iluminado con Informes Seguidor fallar.

«Tenga en cuenta que Windows dice que esta actualización no se aplicará a los sistemas que ejecutan Windows y Linux», escribió una persona frustrada. «Esto obviamente no es cierto y es probable que dependa de la configuración y distribución del sistema que se esté ejecutando. Esto parece haber hecho que algunos cargadores de arranque efi shim de Linux sean incompatibles con los cargadores de arranque efi microcrap (es por eso que cambiar de MS efi a shim funciona) «otro OS» en la configuración de efi). Mint parece tener una versión de corrección que MS SBAT no reconoce».

Los informes indican que varias distribuciones, incluidas Debian, Ubuntu, Linux Mint, Zorin OS y Puppy Linux, se ven afectadas. Microsoft aún no ha reconocido públicamente el error, no ha explicado cómo no se descubrió durante las pruebas ni ha proporcionado orientación técnica a los afectados. Los representantes de la empresa no respondieron a un correo electrónico solicitando respuestas.

El boletín de Microsoft para CVE-20220-2601 explicó que la actualización se instalará coma— Un mecanismo de Linux para anular varios componentes en la ruta de inicio, pero solo en máquinas configuradas para ejecutar Windows únicamente. De esta manera, el arranque seguro en máquinas con Windows no será vulnerable a ataques que lleven un paquete GRUB que aproveche la vulnerabilidad. Microsoft ha asegurado a los usuarios que sus sistemas de arranque dual no se verán afectados, aunque advirtió que las máquinas que ejecutan versiones anteriores de Linux pueden experimentar problemas.

«El valor SBAT no se aplica a los sistemas de arranque dual que ejecutan tanto Windows como Linux y no debería afectar a estos sistemas», dice el boletín. «Es posible que los archivos ISO para distribuciones antiguas de Linux no funcionen. Si esto sucede, trabaje con su proveedor de Linux para obtener una actualización».

De hecho, la modernización Él tiene Se implementa en dispositivos que ejecutan tanto Windows como Linux. Esto incluye no sólo dispositivos de arranque dual sino también dispositivos Windows que pueden ejecutar Linux desde Imagen ISOO unidad USB o medio óptico. Además, muchos de los sistemas afectados ejecutan versiones de Linux lanzadas recientemente, incluidos Ubuntu 24.04 y Debian 12.6.0.

¿Y ahora qué?

Como Microsoft se comprometió con el silencio inalámbrico, los afectados por la falla se vieron obligados a encontrar sus propias soluciones. Una opción es acceder a su placa EFI y desactivar el arranque seguro. Dependiendo de las necesidades de seguridad del usuario, esta opción puede no ser aceptable. La mejor opción a corto plazo es eliminar el SBAT que Microsoft impulsó el martes pasado. Esto significa que los usuarios seguirán recibiendo algunos de los beneficios del arranque seguro incluso si siguen siendo vulnerables a ataques que exploten CVE-2022-2601. Se han explicado los pasos de este tratamiento. aquí (Gracias por manothing (Para referencia).

Los pasos específicos son:

1. Deshabilite el arranque seguro
2. Inicie sesión con su usuario de Ubuntu y abra la terminal.
3. Elimine la política SBAT con:

código: Seleccionar todo

sudo mokutil –set-sbat-policy eliminar

4. Reinicie su computadora y vuelva a iniciar sesión en Ubuntu para actualizar la política SBAT.
5. Reinicie y vuelva a habilitar el arranque seguro en BIOS.

Este incidente es el último que subraya cuán complicado se ha vuelto el arranque seguro, o tal vez siempre lo ha sido. Durante los últimos 18 meses, los investigadores han descubierto al menos cuatro vulnerabilidades que podrían aprovecharse para anular completamente el mecanismo de seguridad. El incidente reciente anterior fue el resultado de las claves de prueba utilizadas para la autenticación de arranque seguro en casi 500 modelos de dispositivos. Las llaves estaban marcadas de manera destacada con las palabras «No confíes».

«En última instancia, si bien Secure Boot hace que Windows funcione de manera más segura, parece tener un conjunto creciente de fallas que lo hacen no tan seguro como se esperaba», dijo Will Dorman, analista senior de vulnerabilidades de la firma de seguridad Analygence. «SecureBoot se complica porque no es sólo un juguete de Microsoft, a pesar de que tienen las llaves del reino. Cualquier vulnerabilidad en un componente de SecureBoot puede afectar sólo a Windows que soporta SecureBoot. Por lo tanto, Microsoft tiene que abordar/bloquear las cosas vulnerables».