マイクロソフトの更新後、デュアルブートシステムの警告「重大な問題が発生しました」

最後の火曜日、多くのLinuxユーザー（ほとんどが今年初めにリリースされたパッケージを実行している）がデバイスが起動しないことを報告し始めました。代わりに、彼らは「何か真剣に間違っています」というフレーズを含む難解なエラーメッセージを受け取りました。

原因: 更新 マイクロソフトは、毎月のパッチリリースの一部として発表しました。これは 2歳の脆弱性 ~へ 幼虫多くのLinuxデバイスを起動するために使用されるオープンソースブートローダです。重大度の評価が10点満点で8.6点のこの脆弱性により、ハッカーがセキュリティブートを迂回する可能性があります。セキュアブートは、Windowsまたは他のオペレーティングシステムを実行しているデバイスが起動プロセス中に悪意のあるファームウェアやソフトウェアをロードしないようにする業界標準です。 CVE-2022-2601は2022年に発見されましたが、不明な理由でマイクロソフトは昨年の火曜日にパッチを適用しました。

新しいディストリビューションと古いディストリビューションの両方が影響を受けました。

火曜日の更新により、デュアルブートデバイス（WindowsとLinuxの両方を実行するように設定されたデバイス）は、セキュアブートが適用されたときに後者で起動できなくなりました。ユーザーがLinuxをロードしようとすると、次のメッセージが表示されました。 “シムSBATデータの検証に失敗しました：セキュリティポリシー違反。重大な問題が発生しました。SBATセルフチェックに失敗しました：セキュリティポリシー違反。”ほぼ瞬時に サポートする そして 議論 フォーラム 点灯 ~と レポート の 失敗。

「Windowsでは、このアップデートはWindowsとLinuxをデュアルブートするシステムには適用されません。」イライラした一人がこう書いています。 「これは明らかに事実ではなく、システム構成と実行中のディストリビューションによって異なります。一部のLinux efi shimブートローダはmicrocrap efiブートローダと互換性がないようです（したがって、efi設定からMS efiから「他のOS」に切り替えます） ）、MintにはMS SBATが認識しないshimバージョンがあるようです。

レポートによれば、Debian、Ubuntu、Linux Mint、Zorin OS、Puppy Linuxなど、多くのディストリビューションがすべて影響を受けています。マイクロソフトはまだ公にエラーを認めておらず、テスト中に検出されなかった理由を説明しておらず、影響を受けた人に技術的なガイダンスを提供していません。会社の担当者は、回答を求めるメールに返信しませんでした。

MicrosoftのCVE-20220-2601に関するお知らせは、そのアップデートが次のものをインストールすることを説明しています。 SBAT– ブートパスからさまざまなコンポーネントをキャンセルするためのLinuxメカニズム – しかし、Windowsのみを実行するように設定されたデバイスにのみ適用されます。このようにして、Windowsデバイスのセキュアブートは、もはや脆弱性を悪用するGRUBパッケージをロードする攻撃に対して脆弱ではありません。マイクロソフトは、ユーザーにデュアルブートシステムが影響を受けないと確信していましたが、以前のバージョンのLinuxを実行しているデバイスは問題が発生する可能性があると警告しました。

「SBAT値は、WindowsとLinuxの両方を起動するデュアルブートシステムには適用されず、これらのシステムには影響しません。」掲示板に書かれています。 「以前のLinuxディストリビューションISOが起動しない可能性があります。この場合は、Linuxベンダーと協力してアップデートを入手してください。」

事実アップデート 持つ WindowsとLinuxの両方を起動するデバイスに適用されました。これには、デュアルブートデバイスだけでなく、Linuxを起動できるWindowsデバイスも含まれます。 ISOイメージUSBドライブまたは光学メディア。さらに、影響を受けるシステムの多くは、Ubuntu 24.04およびDebian 12.6.0を含む最近リリースされたLinuxバージョンを実行しています。

今どうしますか？

マイクロソフトがワイヤレスサイレントを維持するにつれて、この欠陥の影響を受けた人は自分で解決策を見つけなければなりませんでした。 1つのオプションは、EFIパネルにアクセスしてセキュアブートをオフにすることです。ユーザーのセキュリティ要件によっては、このオプションは許可されていない可能性があります。より良い短期的なオプションは、Microsoftが過去の火曜日にプッシュしたSBATを削除することです。つまり、ユーザーは CVE-2022-2601 を悪用する攻撃に対して脆弱であっても、セキュアブートのいくつかの利点を享受できます。この解決策の手順は次のとおりです。 ここ （おかげで マヌチン (参考に)

具体的な手順は次のとおりです。

1. セキュアブートの無効化
2. Ubuntuユーザーとしてログインして端末を開きます。
3. 以下を使用して SBAT ポリシーを削除します。

パスワード： すべて選択

sudo mokutil –set-sbat-policy 削除

4. PCを再起動し、Ubuntuに再度ログインしてSBATポリシーを更新します。
5. 再起動後、BIOS でセキュアブートを再度有効にします。

このイベントは、Secure Bootがどれほど混乱しているのか、あるいは多分そうであるかもしれないことを強調する最新のイベントです。過去18ヶ月間、研究者はセキュリティメカニズムを完全に無効にするために悪用される可能性がある少なくとも4つの脆弱性を発見しました。最近の以前のケースは、約500のデバイスモデルでSecure Bootを認証するために使用されたテストキーの結果でした。キーには「信頼しないでください」というフレーズが目立って表示されていました。

セキュリティ会社Analygenceの上級脆弱性アナリストであるウィルドルマンは、「最終的にSecure BootはWindowsの起動をより安全にしますが、意図したとおりセキュリティを強化できない欠陥がますます多くなるようです」と述べました。 「SecureBootはMS専用のゲームではないため汚れていますが、彼らは王国への鍵を持っています。ブロックする必要があります。」