В недавнем повороте событий обновление Windows от Microsoft непреднамеренно вызвало значительные сбои у пользователей, которые используют двойную загрузку Linux вместе с Windows. Появились сообщения о таких ошибках, как "Verifying shim SBAT data failed: Security Policy Violation" и "Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation." Эти проблемы затрагивают различные дистрибутивы Linux, включая Ubuntu, Debian, Linux Mint, Zorin OS и Puppy Linux.
Понимание воздействия обновления
Обновление изначально было предназначено для устранения уязвимости, которая позволяла злоумышленникам обходить Secure Boot, функцию безопасности, разработанную для предотвращения загрузки неавторизованного прошивочного ПО во время процесса загрузки. Для реализации этого исправления Microsoft внедрила обновление SBAT (Secure Boot Advanced Targeting). Однако это обновление не предназначалось для систем с двойной загрузкой, что и привело к текущим осложнениям.
Хотя Microsoft еще не дала публичных комментариев по этому поводу, для пользователей Ubuntu, столкнувшихся с этими проблемами, был найден обходной путь. Следующие шаги описывают решение:
- Получите доступ к BIOS и отключите Secure Boot (метод выполнения этого действия зависит от производителя ПК).
- Войдите в учетную запись пользователя с привилегиями sudo.
- Убедитесь, что Secure Boot отключен, выполнив команду
mokutil –sb
. Ожидаемый вывод должен содержать сообщение SecureBoot disabled. Если это сообщение не появляется, перезагрузите компьютер и проверьте настройки BIOS снова. - Чтобы вручную удалить политику SBAT от Microsoft, откройте терминал и введите команду
sudo mokutil –set-sbat-policy delete
. После выполнения этой команды перезагрузите машину и войдите обратно с тем же пользователем для обновления политики SBAT. - Наконец, перезагрузите машину еще раз, вернитесь в BIOS и снова включите Secure Boot.
Этот инцидент не является изолированным; за последние полтора года было выявлено несколько уязвимостей, которые могли бы скомпрометировать Secure Boot, позволяя потенциальное внедрение вредоносного кода во время процесса загрузки. Несмотря на отсутствие официального ответа от Microsoft, компания ранее указала в своем бюллетене для CVE-20220-2601, что обновление не должно затрагивать системы с двойной загрузкой. Однако пользовательский опыт, опубликованный на таких платформах, как Framework, Reddit и форумы Linux Mint, свидетельствует об обратном.