Microsoft в настоящее время решает проблемы, возникшие после недавнего обновления безопасности, направленного на устранение двухлетней уязвимости в загрузчике с открытым исходным кодом GRUB. Эта ошибка привела к сбоям на некоторых системах с двойной загрузкой, работающих как под управлением Windows, так и Linux, оставляя пользователей с тревожным сообщением: «Что-то пошло серьезно не так».
Реализация патча и реакции пользователей
Проблемы возникли после выпуска Microsoft обновления безопасности для CVE-2022-2601, которое нацелено на уязвимость переполнения буфера в GRUB 2. Этот загрузчик широко используется в различных дистрибутивах Linux и некоторых машинах Windows. Уязвимость представляет риск, так как потенциально позволяет неавторизованным пользователям или вредоносному ПО обойти функцию Secure Boot, что позволяет загружать вредоносный код во время запуска системы.
Согласно совету Microsoft от 13 августа, последние сборки Windows не подвержены этой уязвимости при использовании загрузчика GRUB2. В совете было указано, что обновление предназначено для систем с двойной загрузкой, работающих под обеими операционными системами, и не должно нарушать их функциональность. Однако опыт пользователей говорит об обратном.
Сообщения с многочисленных форумов указывают на то, что патч непреднамеренно повлиял на системы с двойной загрузкой, предотвращая загрузку дистрибутивов Linux. Один пользователь рассказал о своем опыте после обновления:
«Сегодня, когда я включил ноутбук, я увидел следующее сообщение на несколько секунд, а затем ноутбук выключился... ‘Проверка данных shim SBAT не удалась: Нарушение политики безопасности. Что-то пошло серьезно не так: Самопроверка SBAT не удалась: Нарушение политики безопасности.’ Единственный способ запустить ноутбук - отключить Secure Boot.»
В ответ на запросы от The Register представитель Microsoft признал проблему, заявив, что компания сотрудничает со своими партнерами по Linux для решения этой проблемы. «Это обновление не применяется при обнаружении опции загрузки Linux», - пояснил представитель. «Мы знаем, что некоторые вторичные сценарии загрузки вызывают проблемы у некоторых клиентов, включая использование устаревших загрузчиков Linux с уязвимым кодом. Мы работаем с нашими партнерами по Linux для расследования и устранения этой проблемы.»
Тем временем пользователи начали делиться обходными путями на таких платформах, как Reddit. Одно из предложений от пользователя форума Linux Mint включало следующие шаги:
- Отключите Secure Boot.
- Войдите в систему Ubuntu и откройте терминал.
- Удалите политику SBAT с помощью команды:
sudo mokutil --set-sbat-policy delete
. - Перезагрузите компьютер и снова войдите в систему Ubuntu для обновления политики SBAT.
- Снова перезагрузите компьютер и включите Secure Boot в BIOS.
Этот обходной путь кажется наиболее эффективным решением до выпуска официального исправления от Microsoft.
Опасения по поводу уязвимости Microsoft Exchange Server
В отдельном развитии событий Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило уязвимость ProxyLogon, трехлетнюю ошибку в Microsoft Exchange Server, в свой каталог известных эксплуатируемых уязвимостей. Эта уязвимость позволяет выполнять удаленный код, что дает злоумышленникам полный контроль над затронутыми серверами Exchange.
Отслеживаемая как CVE-2021-31196, эта уязвимость была исправлена еще в июле 2021 года до ее эксплуатации в дикой природе. В то время Microsoft считала вероятность эксплуатации «менее вероятной». Однако реальность оказалась иной, с множественными обходами первоначального патча с тех пор.
Дастин Чайлдс, глава отдела осведомленности о угрозах в Zero Day Initiative компании Trend Micro, выразил разочарование по поводу продолжающейся эксплуатации этой уязвимости, заявив: «Это означает, что несмотря на все наши предупреждения о том, чтобы не оставлять непатченные серверы Exchange подключенными к интернету, это все еще происходит.»