最近,眾多Linux用戶報告稱他們的設備在嘗試啟動時,收到了一條神秘的錯誤消息:“系統出了嚴重問題。”這起事件的罪魁禍首是微軟在月度安全更新中發布的一個補丁,用于修復一個存在已久的GRUB漏洞。
這次更新卻導致了Linux和Windows雙系統設備的啟動問題,引發大量用戶投訴和抱怨。
Linux/Windows雙系統“躺槍”
新發現的漏洞編號為CVE-2022-2601,最早于2022年被發現,其漏洞評分高達8.6分(滿分10分)。該漏洞允許攻擊者繞過安全啟動機制,進而可能在啟動過程中加載惡意軟件。盡管該漏洞早在兩年前便已被披露,但微軟卻遲至本月才發布補丁。然而,這次修復的副作用讓許多Linux用戶措手不及。
多款Linux發行版受影響
此次更新對運行雙系統的設備帶來了嚴重影響,特別是那些同時運行Windows和Linux的用戶。用戶報告稱,當他們嘗試加載Linux系統時,收到如下錯誤信息:“驗證shim SBAT數據失敗:安全策略違規。”相關的討論和支持論壇瞬間被用戶抱怨的聲音所淹沒,受影響的發行版包括Debian、Ubuntu、Linux Mint、Zorin OS和Puppy Linux等。
微軟發布的公告原本聲稱該更新僅適用于運行Windows的設備,且不會影響雙系統設備。然而,事實證明,許多運行較新版本Linux的設備同樣受到了影響,包括Ubuntu 24.04和Debian 12.6.0等最新發行版。
用戶自救解決方案
面對微軟的沉默,受影響的用戶不得不自行尋找解決辦法。最直接的方法是進入EFI面板并關閉安全啟動功能。然而,對于注重設備安全性的用戶而言,這一選項可能并不可行。另一種臨時解決方案是刪除微軟推送的SBAT策略,這能夠讓用戶保留部分安全啟動的保護功能,同時避免由于CVE-2022-2601漏洞而導致的攻擊風險。
具體步驟包括:
- 禁用安全啟動
- 登錄Ubuntu系統并打開終端
- 使用命令刪除SBAT策略:
- 重啟并重新登錄Ubuntu以更新SBAT策略
- 再次重啟并在BIOS中重新啟用安全啟動
安全啟動的局限性
此次事件暴露了Windows安全啟動機制的諸多問題。盡管安全啟動旨在保護操作系統免受惡意軟件的威脅,但近年來,研究人員已經發現了至少四個漏洞,足以破壞這一安全機制。最近的一次漏洞利用甚至影響了超過200款設備型號,證明了安全啟動機制的脆弱性。
安全分析師Will Dormann指出:“盡管安全啟動的初衷是讓Windows的啟動更加安全,但它似乎正逐漸暴露出越來越多的缺陷,無法完全兌現其應有的安全保障。”這一觀點也得到了業界的廣泛認同,安全啟動的復雜性和微軟在這一機制中的核心角色,使得任何漏洞都可能給Windows設備帶來致命的安全隱患。
