“Telah terjadi kesalahan serius,” sistem dual-boot memperingatkan setelah pembaruan Microsoft

Selasa lalu, beberapa pengguna Linux – banyak dari mereka menggunakan paket yang dirilis awal tahun ini – mulai melaporkan bahwa mesin mereka gagal melakukan booting. Sebaliknya, mereka menerima pesan kesalahan misterius yang berisi kalimat berikut: “Telah terjadi kesalahan serius.”

Alasan: A untuk memperbarui Microsoft merilis pembaruan ini sebagai bagian dari rilis patch bulanannya. Itu dimaksudkan untuk ditutup Kelemahan pada usia dua tahun di dalam grubboot loader sumber terbuka yang digunakan untuk memulai banyak perangkat Linux. Kerentanan tersebut, dengan skor tingkat keparahan 8,6 dari 10, memungkinkan peretas melewati Secure Boot, standar industri untuk memastikan bahwa perangkat yang menjalankan Windows atau sistem operasi lain tidak memuat firmware atau malware selama proses booting. CVE-2022-2601 ditemukan pada tahun 2022, namun karena alasan yang tidak jelas, Microsoft baru menambalnya pada Selasa lalu.

Banyak sistem operasi, baik baru maupun lama, yang terpengaruh

Pembaruan hari Selasa membuat perangkat dual-boot — yaitu, perangkat yang dikonfigurasi untuk menjalankan Windows dan Linux — tidak dapat melakukan booting ke perangkat tersebut ketika Secure Boot dipaksa. Ketika pengguna mencoba memuat Linux, mereka menerima pesan: “Pemeriksaan data shim SBAT gagal: Pelanggaran kebijakan keamanan. Terjadi kesalahan serius: Pemeriksaan mandiri SBAT gagal: Pelanggaran kebijakan keamanan.” Hampir seketika mendukung Dan diskusi Forum menyala dengan Laporan Pengikut gagal.

“Perhatikan bahwa Windows mengatakan pembaruan ini tidak akan berlaku untuk sistem yang menjalankan Windows dan Linux,” tulis salah satu orang yang frustrasi. “Ini jelas tidak benar, dan kemungkinan besar bergantung pada konfigurasi sistem dan distribusi yang dijalankannya. Hal ini tampaknya membuat beberapa bootloader efi shim linux tidak kompatibel dengan bootloader efi microcrap (itulah sebabnya peralihan dari MS efi ke shim berfungsi)” lainnya OS” dalam pengaturan efi). Mint tampaknya memiliki versi shim yang tidak dikenali oleh MS SBAT.”

Laporan menunjukkan bahwa beberapa distribusi, termasuk Debian, Ubuntu, Linux Mint, Zorin OS, dan Puppy Linux, semuanya terpengaruh. Microsoft belum secara terbuka mengakui bug tersebut, menjelaskan bagaimana bug tersebut tidak ditemukan selama pengujian, atau memberikan panduan teknis bagi mereka yang terkena dampak. Perwakilan perusahaan tidak menanggapi email yang meminta jawaban.

Buletin Microsoft untuk CVE-20220-2601 menjelaskan bahwa pembaruan akan diinstal koma— Mekanisme Linux untuk mengganti berbagai komponen di jalur booting—tetapi hanya pada mesin yang dikonfigurasi untuk menjalankan Windows saja. Dengan cara ini, Boot Aman pada mesin Windows tidak akan rentan terhadap serangan yang membawa paket GRUB yang mengeksploitasi kerentanan tersebut. Microsoft telah meyakinkan pengguna bahwa sistem dual-boot mereka tidak akan terpengaruh, meskipun telah memperingatkan bahwa mesin yang menjalankan Linux versi lama mungkin mengalami masalah.

“Nilai SBAT tidak berlaku untuk sistem dual boot yang menjalankan Windows dan Linux dan tidak akan mempengaruhi sistem ini,” kata buletin tersebut. “Anda mungkin menemukan bahwa file ISO untuk distribusi Linux lama tidak berfungsi. Jika ini terjadi, hubungi vendor Linux Anda untuk mendapatkan pembaruan.”

Faktanya, modernisasi Dia punya Ini diterapkan pada perangkat yang menjalankan Windows dan Linux. Ini tidak hanya mencakup perangkat dual boot tetapi juga perangkat Windows yang dapat menjalankan Linux gambar ISOAtau drive USB atau media optik. Selain itu, banyak sistem yang terkena dampak menjalankan versi Linux yang baru dirilis, termasuk Ubuntu 24.04 dan Debian 12.6.0.

Bagaimana sekarang?

Dengan komitmen Microsoft terhadap keheningan nirkabel, mereka yang terkena dampak kelemahan tersebut terpaksa menemukan solusi mereka sendiri. Salah satu opsinya adalah mengakses papan EFI mereka dan mematikan boot aman. Tergantung pada kebutuhan keamanan pengguna, opsi ini mungkin tidak dapat diterima. Opsi jangka pendek terbaik adalah menghapus SBAT yang diluncurkan Microsoft Selasa lalu. Artinya, pengguna akan tetap menerima beberapa manfaat Boot Aman meskipun mereka tetap rentan terhadap serangan yang mengeksploitasi CVE-2022-2601. Langkah-langkah pengobatan ini telah dijelaskan Di Sini (Terima kasih untuk Tidak ada apa-apa (Untuk referensi).

Langkah-langkah spesifiknya adalah:

1. Nonaktifkan Boot Aman
2. Masuk ke pengguna Ubuntu Anda dan buka terminal
3. Hapus kebijakan SBAT dengan:

kode: Pilih semua

sudo mokutil –set-sbat-policy hapus

4. Nyalakan kembali komputer Anda dan masuk kembali ke Ubuntu untuk memperbarui kebijakan SBAT
5. Mulai ulang dan aktifkan kembali Boot Aman di BIOS.

Kejadian ini adalah kejadian terbaru yang menggarisbawahi betapa berantakannya Secure Boot, atau mungkin selalu begitu. Selama 18 bulan terakhir, para peneliti telah menemukan setidaknya empat kerentanan yang dapat dieksploitasi untuk sepenuhnya mengalahkan mekanisme keamanan. Insiden baru-baru ini sebelumnya adalah hasil pengujian kunci yang digunakan untuk otentikasi Boot Aman pada hampir 500 model perangkat. Kuncinya ditandai dengan jelas dengan kata-kata “Jangan percaya.”

“Pada akhirnya, meskipun Secure Boot membuat Windows berjalan lebih aman, tampaknya ada serangkaian kelemahan yang membuatnya tidak seaman yang diharapkan,” kata Will Dorman, analis kerentanan senior di perusahaan keamanan Analygence. “SecureBoot menjadi berantakan karena ini bukan hanya mainan Microsoft, meskipun mereka memegang kunci kerajaan tersebut. Kerentanan apa pun dalam komponen SecureBoot hanya dapat memengaruhi Windows yang mendukung SecureBoot. Oleh karena itu, Microsoft harus mengatasi/memblokir hal-hal yang rentan.”