Getty Images
Pagājušajā otrdienā vairāki Linux lietotāji — daudzi no viņiem izmanto šī gada sākumā izdotās pakotnes — sāka ziņot, ka viņu mašīnas neizdodas palaist. Tā vietā viņi saņēma noslēpumainu kļūdas ziņojumu, kurā bija šāda frāze: “Ir radusies nopietna kļūda.”
Iemesls: A lai atjauninātu Microsoft izlaida šo atjauninājumu kā daļu no ikmēneša ielāpu izlaišanas. To bija paredzēts slēgt Vājums divu gadu vecumā iekšā grubatvērtā koda sāknēšanas ielādētājs, ko izmanto daudzu Linux ierīču palaišanai. Ievainojamība, kuras smaguma pakāpe ir 8,6 no 10, ļāva hakeriem apiet drošo sāknēšanu — nozares standartu, lai nodrošinātu, ka ierīces, kurās darbojas Windows vai citas operētājsistēmas, sāknēšanas procesa laikā neielādē programmaparatūru vai ļaunprātīgu programmatūru. CVE-2022-2601 tika atklāts 2022. gadā, taču neskaidru iemeslu dēļ Microsoft to laboja tikai pagājušajā otrdienā.
Tiek ietekmētas daudzas operētājsistēmas, gan jaunās, gan vecās
Otrdienas atjauninājums atstāja divkāršās sāknēšanas ierīces, tas ir, tās, kas konfigurētas, lai darbotos gan Windows, gan Linux, nevarētu sāknēt pēdējo, kad tika piespiesta drošā sāknēšana. Kad lietotāji mēģināja ielādēt Linux, viņi saņēma ziņojumu: “SBAT shim datu pārbaude neizdevās: drošības politikas pārkāpums. Radās nopietna kļūda: SBAT pašpārbaude neizdevās: drošības politikas pārkāpums.” Gandrīz uzreiz atbalsta un diskusija Forumi iedegās ar Pārskati Sekotājs izgāzties.
“Ņemiet vērā, ka Windows saka, ka šis atjauninājums neattieksies uz sistēmām, kurās darbojas Windows un Linux,” rakstīja kāds neapmierināts cilvēks. “Tā acīmredzami nav taisnība, un tas, visticamāk, ir atkarīgs no sistēmas konfigurācijas un distribūcijas, kurā tā darbojas. Šķiet, ka tādēļ daži linux efi shim sāknēšanas ielādēji nav saderīgi ar microcrap efi sāknēšanas ielādētājiem (tāpēc darbojas pāreja no MS efi uz shim) “cits OS” efi iestatīšanā). Šķiet, ka Mint ir shim versija, kuru MS SBAT neatpazīst.”
Pārskati liecina, ka tiek ietekmēti vairāki izplatījumi, tostarp Debian, Ubuntu, Linux Mint, Zorin OS un Puppy Linux. Microsoft vēl nav publiski atzinusi kļūdu, paskaidrojusi, kā tā netika atklāta testēšanas laikā, vai sniegusi tehniskas vadlīnijas skartajiem. Uzņēmuma pārstāvji neatbildēja uz e-pastu, kurā bija pieprasītas atbildes.
Microsoft biļetenā CVE-20220-2601 paskaidrots, ka atjauninājums tiks instalēts koma— Linux mehānisms dažādu komponentu ignorēšanai sāknēšanas ceļā, bet tikai iekārtās, kas konfigurētas tikai operētājsistēmai Windows. Tādā veidā drošā sāknēšana operētājsistēmās Windows nebūs neaizsargāta pret uzbrukumiem, kas satur GRUB pakotni, kas izmanto ievainojamību. Microsoft ir pārliecinājusi lietotājus, ka viņu dubultās sāknēšanas sistēmas netiks ietekmētas, lai gan tā ir brīdinājusi, ka iekārtās, kurās darbojas vecākas Linux versijas, var rasties problēmas.
“SBAT vērtība neattiecas uz dubultās sāknēšanas sistēmām, kurās darbojas gan Windows, gan Linux, un tai nevajadzētu ietekmēt šīs sistēmas,” teikts biļetenā. “Varat atklāt, ka ISO faili vecākiem Linux izplatījumiem nedarbojas. Ja tā notiek, sazinieties ar savu Linux pārdevēju, lai iegūtu atjauninājumu.”
Patiesībā modernizācija Viņam ir Tas ir ieviests ierīcēs, kurās darbojas gan Windows, gan Linux. Tas ietver ne tikai dubultās sāknēšanas ierīces, bet arī Windows ierīces, no kurām var palaist Linux ISO attēlsVai arī USB diskdzinis vai optiskais datu nesējs. Turklāt daudzās ietekmētajās sistēmās darbojas nesen izlaistas Linux versijas, tostarp Ubuntu 24.04 un Debian 12.6.0.
Ko tagad?
Tā kā Microsoft apņēmās nodrošināt bezvadu klusumu, trūkumi, kurus skāra, bija spiesti meklēt savus risinājumus. Viena iespēja ir piekļūt viņu EFI panelim un izslēgt drošo sāknēšanu. Atkarībā no lietotāja drošības vajadzībām šī opcija var nebūt pieņemama. Labākais īstermiņa risinājums ir dzēst SBAT, ko Microsoft uzstāja pagājušajā otrdienā. Tas nozīmē, ka lietotāji joprojām saņems dažas no Secure Boot priekšrocībām, pat ja viņi joprojām būs neaizsargāti pret uzbrukumiem, kas izmanto CVE-2022-2601. Šīs ārstēšanas darbības ir izskaidrotas šeit (Paldies par Manothing (Uzziņai).
Konkrētie soļi ir:
1. Atspējojiet drošo sāknēšanu
2. Piesakieties savā Ubuntu lietotāja kontā un atveriet termināli
3. Dzēsiet SBAT politiku, izmantojot:kods: Atlasiet visu
sudo mokutil –set-sbat-policy delete
4. Restartējiet datoru un vēlreiz piesakieties Ubuntu, lai atjauninātu SBAT politiku
5. Restartējiet un atkārtoti iespējojiet drošo sāknēšanu BIOS.
Šis incidents ir pēdējais, kas uzsver, cik nekārtīgs ir kļuvis vai, iespējams, vienmēr ir bijis Secure Boot. Pēdējo 18 mēnešu laikā pētnieki ir atklājuši vismaz četras ievainojamības, kuras varētu izmantot, lai pilnībā izjauktu drošības mehānismu. Iepriekšējais nesenais incidents bija testa atslēgu rezultāts, kas tika izmantots drošas sāknēšanas autentifikācijai gandrīz 500 ierīču modeļos. Atslēgas bija skaidri marķētas ar uzrakstu “Neuzticies”.
“Galu galā, lai gan drošā sāknēšana padara Windows darbību drošāku, šķiet, ka tajā ir arvien vairāk trūkumu, kas padara to ne tik drošu, kā paredzēts,” sacīja Vils Dormens, drošības firmas Analygence vecākais ievainojamības analītiķis. “SecureBoot kļūst netīrs, jo tā nav tikai Microsoft rotaļlieta, lai gan tajās ir karalistes atslēgas. Jebkura SecureBoot komponenta ievainojamība var ietekmēt tikai Windows, kas atbalsta SecureBoot. Tāpēc Microsoft ir jārisina/bloķē ievainojamās lietas.”
/cdn.vox-cdn.com/uploads/chorus_asset/file/25629831/windowsapp.jpg "Microsoft izlaiž Windows lietotni iPhone, Mac un Android ierīcēm")
