Bu ayki Salı Yaması’nın ardından gelen kullanıcı raporlarına göre, Ağustos 2024 Windows güvenlik güncelleştirmeleri, Güvenli Önyükleme etkinleştirilmiş bazı Linux sistemlerinde ikili önyüklemeyi bozuyor.
Bu sorun, Microsoft’un CVE-2022-2601 GRUB2 Güvenli Önyükleme atlama güvenlik açığına karşı yama uygulanmamış Linux önyükleyicilerini engellemek için Güvenli Önyükleme Gelişmiş Hedefleme (SBAT) güncelleştirmesini uygulama kararından kaynaklanmaktadır. Bu güvenlik açığı “Windows güvenliğini etkileyebilir.”
Microsoft, geçen hafta bu sorunu ele almak için yayınladığı bir duyuruda, “Bu CVE’ye atanan güvenlik açığı, Linux çalıştıran sistemlerde Güvenli Önyüklemeyi desteklemek için tasarlanmış bir önyükleme yükleyicisi olan Linux GRUB2 önyükleme yükleyicisinde bulunuyor” diyor.
“Güvenlik Güncelleştirme Kılavuzu’nda, Windows’un en son sürümlerinin artık Linux GRUB2 önyükleyicisini kullanarak bu güvenlik özelliğini aşmaya karşı savunmasız olmadığı duyurulmaktadır.
“SBAT değeri hem Windows hem de Linux’u başlatan çift önyüklemeli sistemlere uygulanmaz ve bu sistemleri etkilememelidir. Eski Linux dağıtım ISO’larının başlatılmadığını görebilirsiniz. Bu gerçekleşirse, bir güncelleme almak için Linux satıcınızla çalışın.”
Ancak Redmond, savunmasız UEFI shim önyükleyicilerini engelleyen SBAT güncellemesinin çift önyüklemeli sistemleri hiçbir şekilde etkilememesi gerektiğini söylerken, birçok Linux kullanıcısı sistemlerinin (Ubuntu, Linux Mint, Zorin OS, Puppy Linux ve diğer dağıtımları çalıştıran) Ağustos 2024 Windows güncelleştirmelerini Windows işletim sistemine yükledikten sonra artık önyükleme yapmadığını söylüyor.
Etkilenenler “Shim SBAT verilerinin doğrulanması başarısız oldu: Güvenlik Politikası İhlali. Bir şey ciddi şekilde ters gitti: SBAT kendi kendini kontrol etme başarısız oldu: Güvenlik Politikası İhlali” hatalarını görür ve bazılarında cihazlar hemen kapanır.
Şu anda, bu bilinen sorundan etkilenen Linux dağıtımları ve sürümlerinin kesin bir listesi bulunmuyor ve sorunu aşmayı deneyen Linux kullanıcıları, SBAT politikasını silmenin veya Windows kurulumunu silip Güvenli Önyüklemeyi fabrika ayarlarına geri yüklemenin işe yaramayacağını söylüyor.
Cihazı canlandırmanın tek yolu Güvenli Önyüklemeyi devre dışı bırakmak, en sevdiğiniz Linux dağıtımının en son sürümünü yüklemek ve Güvenli Önyüklemeyi yeniden etkinleştirmektir.
Microsoft, bu ayki Salı Yaması güncelleştirmesinin yüklenmesinin çift önyüklemeli sistemlerin önyükleme yapmasını imkansız hale getirebileceğini henüz kabul etmedi.