Uma atualização de segurança recente da Microsoft levou a problemas de inicialização para usuários com sistemas dual-boot com Home windows e Linux, confirmou a empresa. A atualização, destinada a corrigir uma vulnerabilidade no GRUB, um carregador de inicialização de código aberto, afetou inesperadamente sistemas configurados para executar ambos os sistemas operacionais. A vulnerabilidade, conhecida como CVE-2022-2601, permitiu que invasores ignorassem o mecanismo Safe Boot projetado para garantir que apenas software program confiável seja executado durante a inicialização.
Política de inicialização segura mal aplicada
A atualização, que foi lançada como parte do Patch Tuesday de agosto de 2024, implementou uma política Safe Boot Superior Concentrating on (SBAT) projetada para revogar certos componentes do caminho de inicialização. Ela deveria ser restrita a dispositivos somente Home windows. Em vez disso, ela afetou erroneamente sistemas de inicialização dupla e dispositivos Home windows configurados para inicializar o Linux a partir de imagens ISO ou unidades USB, causando falhas de inicialização.
Os usuários encontraram erros como “Algo deu muito errado: falha na autoverificação do SBAT: violação da política de segurança” ao tentar inicializar no Linux. O problema afeta várias distribuições Linux, incluindo Debian, Ubuntu, Linux Mint, Zorin OS e Pet Linux.
Resposta e medidas provisórias da Microsoft
A Microsoft reconheceu o problema e se comprometeu a resolvê-lo. A causa raiz foi atribuída a uma falha na detecção de configurações de dual-boot, levando à aplicação incorreta da política SBAT. Como medida temporária, a Microsoft aconselha os usuários a não reiniciarem seus sistemas Home windows para aplicar a atualização e, em vez disso, usar uma chave de registro para bloquear a atualização com o comando:
``` reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecureBootSBAT /v OptOut /d 1 /t REG_DWORD ```
Correções temporárias por usuários
Alguns usuários encontraram soluções alternativas, como desabilitar o Safe Boot ou remover a política SBAT. Para excluir a política SBAT, os usuários podem desabilitar o Safe Boot, fazer login no Linux e executar o comando `sudo mokutil --set-sbat-policy delete`. Depois, o Safe Boot precisa ser reativado nas configurações do BIOS.
Todas as versões atuais de cliente e servidor do Home windows 10 e 11, incluindo as edições do Home windows Server de 2012 em diante, são afetadas. O cenário ressalta as complexidades de gerenciar o Safe Boot em ambientes de SO misto.
A situação da Microsoft é parte de uma luta contínua com o Safe Boot, que encontrou várias vulnerabilidades nos últimos tempos. Algumas pesquisas apontaram falhas como o uso de chaves de teste rotuladas como “NÃO CONFIE” para autenticar o Safe Boot em muitos dispositivos. O analista de segurança Will Dormann destacou que, embora o Safe Boot aumente a segurança do Home windows, sua eficácia é comprometida por tais vulnerabilidades.
