El problema es causado por una actualización de Secure Boot Advanced Targeting (SBAT) aplicada para bloquear los cargadores de arranque de Linux que no están parcheados contra la vulnerabilidad de bypass de Secure Boot CVE-2022-2601 en GRUB2.
"Como resultado de este problema, tu dispositivo podrÃa no arrancar Linux y mostrar el mensaje de error 'Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation'", explicó Microsoft.
"La actualización de seguridad de Windows de agosto de 2024 aplica una configuración de Secure Boot Advanced Targeting (SBAT) a dispositivos que ejecutan Windows para bloquear administradores de arranque antiguos y vulnerables."
La compañÃa agregó que la actualización de SBAT diseñada para bloquear cargadores de arranque UEFI vulnerables no se entregará a dispositivos donde se detecte el arranque dual.
Sin embargo, también reconoció que "la detección de arranque dual no detectó algunos métodos personalizados de arranque dual y aplicó el valor SBAT cuando no deberÃa haberse aplicado."
Como informó BleepingComputer el martes, muchos usuarios de Linux confirmaron que fueron afectados después del Patch Tuesday de este mes. Dicen que sus sistemas (que ejecutan Ubuntu, Linux Mint, Zorin OS, Puppy Linux y otras distribuciones) dejaron de arrancar en Linux tras instalar las actualizaciones de seguridad de agosto en el sistema operativo Windows.
Arranque de Linux roto por la actualización de Windows (Ok_Work_5257) |
Los usuarios de Linux que intentaron encontrar una solución a este problema conocido dicen que las soluciones sugeridas, como eliminar la polÃtica SBAT o borrar la instalación de Windows y luego restaurar Secure Boot a la configuración de fábrica, no funcionarán en todos los dispositivos afectados.
La única forma verificada de revivir cualquier sistema impactado es deshabilitar Secure Boot, instalar la última versión de tu distribución de Linux favorita y volver a habilitar Secure Boot.
Microsoft también proporcionó una solución alternativa para aquellos que aún no han completado la instalación de las actualizaciones de seguridad de agosto de 2024 mediante un reinicio, lo que requiere usar la siguiente clave de registro para interrumpir el proceso de implementación y evitar que se instalen las actualizaciones defectuosas:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD
La compañÃa está investigando el problema con sus socios de Linux y proporcionará una actualización cuando haya más detalles disponibles.
Fuente: Bleeping Computer