Getty-afbeeldingen
Afgelopen dinsdag begonnen tientallen Linux-gebruikers (veel actieve pakketten die eerder dit jaar werden uitgebracht) te melden dat hun apparaten niet meer opstartten. In plaats daarvan ontvingen ze een cryptische foutmelding met de zin: “Er is iets ernstig misgegaan.”
Oorzaak: Een update die door Microsoft is uitgebracht als onderdeel van de maandelijkse patchrelease. Het was bedoeld om een twee jaar oude kwetsbaarheid in GRUB te dichten, de open source bootloader die wordt gebruikt om veel Linux-apparaten op te starten. Dankzij de kwetsbaarheid, met een ernstgraad van 8,6 uit 10, konden hackers Secure Boot omzeilen, een industriestandaard die ervoor zorgt dat apparaten met Windows of andere besturingssystemen geen schadelijke firmware of software laden tijdens het opstartproces. CVE-2022-2601 werd in 2022 ontdekt, maar om onduidelijke redenen heeft Microsoft deze pas afgelopen dinsdag gepatcht.
Meerdere distributies, nieuw en oud, worden beïnvloed
De update van dinsdag zorgde ervoor dat dual-boot-apparaten (dat wil zeggen apparaten die zijn geconfigureerd om zowel Windows als Linux te gebruiken) niet langer naar laatstgenoemde konden opstarten toen Secure Boot werd afgedwongen. Toen gebruikers Linux probeerden op te starten, kregen ze de melding: “De SBAT-gegevenscontrole op de backplane is mislukt: schending van het beveiligingsbeleid. Er ging iets ernstig mis: SBAT-zelftest mislukt: schending van het beveiligingsbeleid.” Vrijwel onmiddellijk lichtten de ondersteuningsforums en discussieborden op met berichten over de mislukking.
“Merk op dat Windows zegt dat deze update niet van toepassing zal zijn op systemen die zowel Windows als Linux draaien”, schreef een gefrustreerde persoon. “Dit is duidelijk niet waar en hangt waarschijnlijk af van je systeemconfiguratie en de distributie die je gebruikt. Het lijkt erop dat sommige Linux efi-shim bootloaders incompatibel hebben gemaakt met microcrap efi-bootloaders (daarom werkt het overschakelen van MS efi naar ‘ander besturingssysteem’ in de efi-instelling). Mint lijkt een shim-versie te hebben die MS SBAT niet herkent.
Uit rapporten blijkt dat meerdere distributies getroffen zijn, waaronder Debian, Ubuntu, Linux Mint, Zorin OS en Puppy Linux. Microsoft heeft de bug nog niet publiekelijk erkend, uitgelegd hoe deze niet tijdens het testen is ontdekt, of technische begeleiding gegeven aan de betrokkenen. Vertegenwoordigers van het bedrijf hebben niet gereageerd op een e-mail waarin om antwoorden werd gevraagd.
Microsoft’s bulletin voor CVE-20220-2601 legt uit dat de update SBAT zal installeren – een Linux-mechanisme voor het intrekken van verschillende componenten in het opstartpad – maar alleen op apparaten die zijn geconfigureerd om alleen Windows te draaien. Op die manier zou Secure Boot op Windows-apparaten niet langer kwetsbaar zijn voor aanvallen die een GRUB-pakket laden dat misbruik maakt van de kwetsbaarheid. Microsoft heeft gebruikers verzekerd dat hun dual-boot-systemen niet zullen worden getroffen, hoewel het heeft gewaarschuwd dat apparaten met oudere versies van Linux problemen kunnen ondervinden.
“De SBAT-waarde is niet van toepassing op dual-boot-systemen die zowel Windows als Linux draaien en zou geen invloed moeten hebben op deze systemen”, aldus het bulletin. “Het kan zijn dat oudere Linux-distributie-ISO’s niet willen opstarten. Als dit gebeurt, werk dan samen met uw Linux-leverancier om een update te krijgen.”
Eigenlijk een update er is toegepast op apparaten met zowel Windows als Linux. Dit omvat niet alleen dual-boot-apparaten, maar ook Windows-apparaten die Linux kunnen opstarten vanaf een ISO-image, USB-station of optische media. Bovendien draaien veel van de getroffen systemen op onlangs uitgebrachte versies van Linux, waaronder Ubuntu 24.04 en Debian 12.6.0.
wat nu?
Omdat Microsoft de radiostilte handhaafde, werden degenen die door de storing waren getroffen, gedwongen hun eigen oplossingen te vinden. Eén optie is om toegang te krijgen tot hun EFI-paneel en beveiligd opstarten uit te schakelen. Afhankelijk van de beveiligingsbehoeften van de gebruiker is deze optie mogelijk niet acceptabel. Een betere kortetermijnoptie is het schrappen van de SBAT die Microsoft afgelopen dinsdag heeft uitgerold. Dit betekent dat gebruikers nog steeds enkele voordelen van Secure Boot zullen hebben, zelfs als ze kwetsbaar blijven voor aanvallen die misbruik maken van CVE-2022-2601. De stappen voor deze oplossing worden hier vermeld (bedankt manutheeng voor de referentie).
De specifieke stappen zijn:
1. Schakel Veilig opstarten uit
2. Meld u aan bij uw Ubuntu-gebruiker en open een terminal
3. Verwijder het SBAT-beleid met:Wachtwoord: Selecteer alles
sudo mokutil –set-sbat-policy verwijderen
4. Start uw computer opnieuw op en log opnieuw in bij Ubuntu om het SBAT-beleid bij te werken
5. Start opnieuw op en schakel vervolgens Safe Boot opnieuw in uw BIOS in.
Dit incident is het meest recente incident dat laat zien wat een puinhoop Secure Boot is geworden, of misschien altijd is geweest. De afgelopen 18 maanden hebben onderzoekers minstens vier kwetsbaarheden ontdekt die kunnen worden uitgebuit om het beveiligingsmechanisme volledig te neutraliseren. Het meest recente vorige exemplaar was het resultaat van testsleutels die werden gebruikt om Secure Boot op ongeveer 500 apparaatmodellen te verifiëren. Op de sleutels stond duidelijk de woorden “GELOOF NIET”.
“Hoewel Secure Boot het opstarten van Windows veiliger maakt, lijkt het erop dat het een groeiend aantal fouten bevat waardoor het niet zo veilig is als het zou moeten zijn”, zegt Will Dormann, senior kwetsbaarheidsanalist bij beveiligingsbedrijf Analygence. . “SecureBoot wordt rommelig omdat het niet alleen voor MS is, ook al hebben ze de sleutels van het koninkrijk. Elke kwetsbaarheid in de SecureBoot-component kan gevolgen hebben voor een SecureBoot-compatibel Windows-systeem. Als zodanig moeten MS de kwetsbare zaken aanpakken/blokkeren.”