Microsoft heeft een update gelanceerd om een kritieke kwetsbaarheid in Secure Boot weg te werken, maar die update zorgt ervoor dat dual boot-systemen met Linux niet meer naar dat OS willen opstarten.
Microsoft lanceerde vorige week dinsdag een update om een bug in Secure Boot weg te werken. Die update heeft echter onaangename bijwerkingen voor gebruikers die Windows en Linux op hetzelfde systeem draaien. Na installatie van de patch, lukt het niet meer om op te starten in Linux met Secure Boot ingeschakeld.
De update zelf lost een probleem uit 2022 op, waarbij aanvallers Secure Boot kunnen omzeilen. Die kwetsbaarheid is gebaseerd op een probleem in de GRUB-bootloader. Hackers zouden code kunnen laden via GRUB die toch malafide is, terwijl Secure Boot zoiets net moet voorkomen.
Toch geïnstalleerd
De patch lijkt iets te grondig. Wie de update installeerde, kan niet meer opstarten naar talrijke Linux-systemen in een dual boot-condiguratie met Windows. Microsoft lijkt per ongeluk ook niet malafide code te blokkeren tijdens het opstartproces.
Het euvel was Micrsosoft nochtans niet onbekend. Redmond beloofde de patch niet zomaar te zullen uitrollen naar dual boot-systemen waarop ook Linux actief is. Om de één of andere reden gebeurde dat toch. Voorlopig gaf Microsoft nog een commentaar.
Tijdelijke oplossing
De eenvoudigste oplossing voor het probleem is om Secure Boot via de EFI-instellingen tijdelijk uit te schakelen, tot het probleem is verholpen. Dat brengt veiligheidsrisico’s met zich mee, maar die kunnen aanvaardbaar zijn tegenover het alternatief van niet meer op Linux te raken.
Er zou ook een workaround zijn waarbij je het SBAT-beleid verwijderd dat Microsoft met de update heeft toegevoegd. Dat zorgt immers voor het probleem. Om dat te doen, moet je nog steeds even Secure Boot uitschakelen, om vervolgens in te loggen in Linux. Verwijder daar de policy met sudo mokutil –set-sbat-policy delete. Herstart, log opnieuw in op Linux, en herstart opnieuw om Secure Boot opnieuw in te schakelen. De oplossing werd voorgesteld door een gebruiker op het Linux Mint-forum.