Microsoft, Güvenli Önyükleme etkinleştirilmiş çift önyüklemeli sistemlerde Linux’un önyükleme yapmasını engelleyen bilinen bir sorunu geçici olarak düzeltmek için bir çözüm yolu sağladı.
Şirket, bu geçici düzeltmenin, Ağustos 2024 Windows güvenlik güncelleştirmelerini yükledikten sonra “Bir şeyler ciddi şekilde ters gitti: SBAT kendi kendine denetimi başarısız oldu: Güvenlik İlkesi İhlali” hatalarını görüntüleyen önyükleme yapılamayan sistemleri canlandırmaya yardımcı olabileceğini söylüyor.
BleepingComputer’ın Salı günü bildirdiğine göre, bu ayki Salı Yaması’nın ardından birçok Linux kullanıcısı bu bilinen sorundan etkilendiklerini doğruladı.
Etkilenenler, sistemlerinin (Ubuntu, Linux Mint, Zorin OS ve Puppy Linux dahil olmak üzere çok çeşitli dağıtımları çalıştıran) bu ayki Windows toplu güncelleştirmelerini yükledikten sonra Linux’u başlatmayı bıraktığını söyledi.
Sorun, CVE-2022-2601 GRUB2 Güvenli Önyükleme atlamasını hedef alan istismarlara karşı savunmasız UEFI shim önyükleyicilerini engellemek için tasarlanmış bir Güvenli Önyükleme Gelişmiş Hedefleme (SBAT) güncellemesi tarafından tetikleniyor. Microsoft, güncellemeyi yayınladığında, güncellemenin ikili önyüklemenin algılandığı cihazlara teslim edilmeyeceğini söyledi.
Ancak bu hafta sorunu kabul ettikten sonra, “çift önyükleme algılamasının bazı özelleştirilmiş çift önyükleme yöntemlerini algılamadığını ve uygulanmaması gereken SBAT değerini uyguladığını” da doğruladı.
Ağustos 2024 Windows güncelleştirmelerini zaten yüklemiş ve artık çift önyüklemeli cihazlarında Linux’u başlatamayanlar için Microsoft, SBAT güncelleştirmesini silmelerini ve gelecekteki SBAT güncelleştirmelerinin artık yüklenmeyeceğinden emin olmalarını öneriyor.
Bunu yapmak için aşağıdaki prosedürü izlemeniz gerekecektir:
- Güvenli Önyüklemeyi Devre Dışı Bırak Cihazınızın yazılım ayarlarına girdikten sonra (bu her üretici için farklı adımlar gerektirir).
- SBAT güncellemesini silin Linux’u başlatarak ve çalıştırarak
sudo mokutil --set-sbat-policy deletekomut ve yeniden başlatma. - SBAT iptallerini doğrulayın çalıştırarak
mokutil --list-sbat-revocationskomutunu verin ve boş olduğundan emin olun. - Güvenli Önyüklemeyi yeniden etkinleştirin Cihazınızın yazılım ayarlarından.
- Güvenli Önyükleme durumunu kontrol edin Linux’u başlatarak, çalıştırarak
mokutil --sb-statekomutunu çalıştırın ve çıktının “SecureBoot etkin” olduğundan emin olun. Aksi takdirde, 4. adımı tekrar deneyin. - Windows’ta Gelecekteki SBAT Güncellemelerini Önleme Aşağıdaki komutu Yönetici olarak Komut İstemi penceresinden çalıştırarak:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD
Microsoft, “Bu noktada, artık daha önce olduğu gibi Linux veya Windows’a önyükleme yapabilmeniz gerekir. Sisteminizin güvenli olduğundan emin olmak için bekleyen Linux güncellemelerini yüklemek için iyi bir zamandır,” dedi.
Şirket, Linux ortaklarının yardımıyla sorunu hala araştırıyor ve yeni bilgiler mevcut olduğunda daha fazla güncelleme sağlayacak.