Microsoft heeft bevestigd dat de Windows-beveiligingsupdates van augustus 2024 ervoor zorgen dat Linux-opstartproblemen optreden op dual-boot systemen met Secure Boot ingeschakeld.

Het probleem wordt veroorzaakt door een Secure Boot Advanced Targeting (SBAT) update die is toegepast om Linux-opstartladers te blokkeren die niet zijn gepatcht tegen de CVE-2022-2601 GRUB2 Secure Boot bypass-kwetsbaarheid.

“Als gevolg van dit probleem kan het zijn dat je apparaat niet kan opstarten in Linux en de foutmelding ‘Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation’ toont,” legde Microsoft uit.

“De beveiligingsupdate van augustus 2024 past een Secure Boot Advanced Targeting (SBAT) instelling toe op apparaten die Windows draaien om oude, kwetsbare opstartmanagers te blokkeren.”

Het bedrijf voegde eraan toe dat de SBAT-update die is bedoeld om kwetsbare UEFI shim-opstartladers te blokkeren, niet zal worden geleverd aan apparaten waar dual-booting wordt gedetecteerd.

Echter, het erkende ook dat “de dual-bootdetectie sommige aangepaste methoden van dual-booting niet heeft gedetecteerd en de SBAT-waarde heeft toegepast terwijl dit niet had mogen gebeuren.”

Zoals BleepingComputer dinsdag rapporteerde, bevestigden veel Linux-gebruikers dat ze getroffen waren na de Patch Tuesday van deze maand. Ze zeggen dat hun systemen (werkend op Ubuntu, Linux Mint, Zorin OS, Puppy Linux en andere distro’s) stopten met opstarten in Linux na het installeren van de beveiligingsupdates van augustus op het Windows-besturingssysteem.

Wat te doen als je al hebt bijgewerkt?

Linux-gebruikers die hebben geprobeerd dit bekende probleem te omzeilen, zeggen dat voorgestelde oplossingen zoals het verwijderen van het SBAT-beleid of het wissen van de Windows-installatie, en vervolgens Secure Boot herstellen naar fabrieksinstellingen, niet zullen werken op alle getroffen apparaten.

De enige bewezen manier om een getroffen systeem te herstellen, is om Secure Boot uit te schakelen, de nieuwste versie van je favoriete Linux-distro te installeren en Secure Boot weer in te schakelen.

Microsoft heeft ook een workaround geleverd voor degenen die de installatie van de beveiligingsupdates van augustus 2024 nog niet hebben voltooid door opnieuw op te starten. Dit vereist het gebruik van de volgende opt-out registersleutel om het implementatieproces te onderbreken en te voorkomen dat de buggy-updates worden geïnstalleerd:

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecureBootSBAT /v OptOut /d 1 /t REG_DWORD

Het bedrijf onderzoekt het probleem samen met zijn Linux-partners en zal een update geven wanneer er meer details beschikbaar zijn.