Microsoft heeft een tijdelijke oplossing geboden om een bekend probleem te verhelpen dat verhindert dat Linux opstart op dual-boot systemen met Secure Boot ingeschakeld.

Het bedrijf zegt dat deze tijdelijke oplossing Linux-gebruikers kan helpen om systemen die onbootbaar zijn geworden na de installatie van de Windows-beveiligingsupdates van augustus 2024, opnieuw op te starten. Deze systemen geven de foutmelding “Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation” weer.

Veel Linux-gebruikers hebben bevestigd dat zij door dit bekende probleem zijn getroffen na de Patch Tuesday van deze maand, zoals BleepingComputer dinsdag meldde.

Getroffenen gaven aan dat hun systemen (met een breed scala aan distributies, waaronder maar niet beperkt tot Ubuntu, Linux Mint, Zorin OS en Puppy Linux) stopten met het opstarten in Linux na de installatie van de cumulatieve Windows-updates van deze maand.

Het probleem wordt veroorzaakt door een Secure Boot Advanced Targeting (SBAT) update die is ontworpen om UEFI shim-bootloaders te blokkeren die kwetsbaar zijn voor exploits die gericht zijn op de CVE-2022-2601 GRUB2 Secure Boot-bypass. Bij de release van de update zei Microsoft dat deze update niet zou worden geleverd aan apparaten waarop dual-booting is gedetecteerd.

Na het erkennen van het probleem deze week, bevestigde Microsoft echter ook dat “de dual-boot detectie sommige aangepaste dual-boot methoden niet heeft gedetecteerd en de SBAT-waarde toepaste waar dit niet had moeten gebeuren.”

Voor degenen die de Windows-updates van augustus 2024 al hebben geïnstalleerd en niet langer Linux kunnen opstarten op hun dual-boot apparaten, raadt Microsoft aan de SBAT update te verwijderen en ervoor te zorgen dat toekomstige SBAT updates niet langer worden geïnstalleerd.

Om dit te doen, moet je de volgende stappen doorlopen:

1. Schakel Secure Boot uit door op te starten in de firmware-instellingen van je apparaat (dit vereist verschillende stappen voor elke fabrikant).
2. Verwijder de SBAT-update door Linux op te starten en het commando sudo mokutil --set-sbat-policy delete uit te voeren en opnieuw op te starten.
3. Controleer SBAT-intrekkingen door het commando mokutil --list-sbat-revocations uit te voeren en ervoor te zorgen dat het leeg is.
4. Schakel Secure Boot opnieuw in vanuit de firmware-instellingen van je apparaat.
5. Controleer de Secure Boot-status door op te starten in Linux, het commando mokutil --sb-state uit te voeren en ervoor te zorgen dat de uitvoer “SecureBoot enabled” is. Zo niet, herhaal stap 4.
6. Voorkom toekomstige SBAT-updates in Windows door het volgende commando uit te voeren vanuit een opdrachtpromptvenster als Administrator:

   reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecureBootSBAT /v OptOut /d 1 /t REG_DWORD

“Op dit moment zou je nu zoals voorheen moeten kunnen opstarten in Linux of Windows. Het is een goed moment om eventuele openstaande Linux-updates te installeren om ervoor te zorgen dat je systeem veilig is,” aldus Microsoft.

Het bedrijf is nog steeds bezig met het onderzoeken van het probleem met de hulp van Linux-partners en zal updates verstrekken zodra er nieuwe informatie beschikbaar is.