يوم الثلاثاء الماضي، بدأ العشرات من مستخدمي Linux – العديد من الحزم قيد التشغيل التي تم إصدارها في وقت سابق من هذا العام – في الإبلاغ عن فشل تشغيل أجهزتهم. وبدلاً من ذلك، تلقوا رسالة خطأ غامضة تتضمن عبارة “حدث خطأ جسيم”.
السبب: أ يرقي تم إصداره بواسطة Microsoft كجزء من إصدار التصحيح الشهري. لقد كان دافعًا مغلقًا 2 سنة تتأثر داخل نكشيتم استخدام أداة تحميل التشغيل مفتوحة المصدر لتشغيل العديد من أجهزة Linux. أتاحت الثغرة الأمنية، التي تبلغ درجة خطورتها 8.6 من أصل 10، للمتسللين تجاوز Secure Boot، وهو معيار صناعي لضمان عدم قيام الأجهزة التي تعمل بنظام Windows أو أنظمة التشغيل الأخرى بتحميل برامج ثابتة أو برامج ضارة أثناء عملية التمهيد. تم اكتشاف CVE-2022-2601 في عام 2022، ولكن لأسباب غير واضحة، قامت Microsoft بتصحيحه يوم الثلاثاء الماضي فقط.
تتأثر العديد من التوزيعات الجديدة والقديمة
ترك تحديث يوم الثلاثاء الأجهزة ذات التشغيل المزدوج – أي تلك التي تم تكوينها لتشغيل كل من Windows وLinux – غير قادرة على التشغيل في الأخير عند تمكين Secure Boot. عندما حاول المستخدمون تحميل Linux، حصلوا على الرسالة: “غير قادر على التحقق من بيانات shim SBAT: انتهاك سياسة الأمان. حدث خطأ ما: فشل التحقق الذاتي من SBAT: انتهاك سياسة الأمان على الفور تقريبًا يدعم و مناقشة المنتديات مضاءة مع التقارير ل فشل.
“لاحظ أن Windows يقول أن هذا التحديث لا ينطبق على الأنظمة التي تعمل بنظام التشغيل Windows و Linux المزدوج” ، كتب أحد الأشخاص المحبطين. “من الواضح أن هذا ليس صحيحًا، ويعتمد على تكوين نظامك والتوزيع الذي تقوم بتشغيله. يبدو أن هذا جعل بعض أدوات تحميل التشغيل Linux efi shim غير متوافقة مع أدوات تحميل التشغيل Micrograph efi (وهذا هو السبب وراء تحول MS من efi إلى “أنظمة تشغيل أخرى” في نظام efi). لدى Mint إصدار شرائح لا يتعرف عليه MS SBAT.”
تشير التقارير إلى تأثر العديد من التوزيعات بما في ذلك Debian وUbuntu وLinux Mint وZorin OS وPuppy Linux. لم تعترف Microsoft بعد بالخطأ علنًا، أو تشرح كيف لم يتم اكتشافه أثناء الاختبار، أو تقدم إرشادات فنية للضحايا. لم يستجب ممثلو الشركة لرسالة بريد إلكتروني تطلب إجابات.
أوضحت نشرة Microsoft لـ CVE-20220-2601 أنه سيتم تثبيت التحديث سبات– آلية Linux لإعادة المكونات المختلفة إلى مسار التمهيد – ولكن فقط على الأجهزة التي تم تكوينها لتشغيل Windows فقط. وبهذه الطريقة، لم يعد Secure Boot على أجهزة Windows عرضة للهجمات التي تقوم بتحميل حزمة GRUB التي تستغل الثغرة الأمنية. وأكدت مايكروسوفت للمستخدمين أن نظام التشغيل المزدوج الخاص بهم لن يتأثر، على الرغم من أنها حذرت من أن الأجهزة التي تعمل بإصدارات أقدم من نظام التشغيل Linux قد تواجه مشكلات.
“لا يتم استخدام قيمة SBAT لأنظمة التشغيل المزدوج التي تعمل على تشغيل كل من نظامي التشغيل Windows وLinux، ويجب ألا تؤثر على هذه الأنظمة”، كما جاء في النشرة. “قد تجد أن إصدارات ISO الأقدم لتوزيع Linux لن يتم تشغيلها. إذا حدث ذلك، فتعاون مع بائع Linux الخاص بك للحصول على التحديث.
في الواقع، التحديث لديه يستخدم لكل من أجهزة التمهيد التي تعمل بنظامي التشغيل Windows وLinux. لا يشمل ذلك الأجهزة ذات التشغيل المزدوج فحسب، بل يشمل أيضًا أجهزة Windows التي يمكنها تشغيل Linux صورة ايزومحرك أقراص USB أو الوسائط الضوئية. والأكثر من ذلك، أن العديد من أجهزة الكمبيوتر المتأثرة تعمل بإصدارات تم إصدارها مؤخرًا من Linux، بما في ذلك Ubuntu 24.04 وDebian 12.6.0.
ماذا الآن؟
نظرًا لأن Microsoft تحافظ على صمت الراديو، يضطر المتضررون من الخلل إلى إيجاد الحلول الخاصة بهم. أحد الخيارات هو الوصول إلى لوحة EFI الخاصة بهم وتعطيل Secure Boot. اعتماداً على احتياجات الأمان الخاصة بالمستخدم، قد لا يكون هذا الخيار مقبولاً. أفضل خيار على المدى القصير هو إزالة SBAT، التي انسحبت مايكروسوفت منها يوم الثلاثاء الماضي. وهذا يعني أن المستخدمين ما زالوا يحصلون على بعض فوائد Secure Boot، حتى لو كانوا عرضة للهجمات التي تستخدم CVE-2022-2601. تم توضيح التعليمات الخاصة بهذا العلاج هنا (شكرًا لك الرياضيات للرجوع إليها).
خطوات محددة:
1. تعطيل التمهيد الآمن
2. قم بتسجيل الدخول إلى مستخدم Ubuntu وافتح الوحدة الطرفية
3. احذف سياسة SBAT باستخدام:شفرة: حدد الكل
sudo mokutil –set-sbat-policy حذف
4. أعد تشغيل جهاز الكمبيوتر الخاص بك وقم بتسجيل الدخول مرة أخرى إلى Ubuntu لتحديث سياسة SBAT
5. أعد التشغيل وأعد تمكين التمهيد الآمن في BIOS الخاص بك.
هذه الحادثة هي الأحدث التي تؤكد مدى الفوضى التي أصبحت عليها عملية Secure Boot، أو ربما كانت كذلك دائمًا. وفي الأشهر الـ 18 الماضية، اكتشف الباحثون أربع نقاط ضعف على الأقل يمكن استخدامها لتجاوز الآلية الأمنية بشكل كامل. وكانت الحالة السابقة الأخيرة نتيجة مفاتيح الاختبار المستخدمة لمصادقة التمهيد الآمن على حوالي 500 طراز من الأجهزة. تم تمييز المفاتيح بشكل أساسي بالكلمات “لا تثق”.
وقال ويل دورمان: “في النهاية، بينما يجعل Secure Boot عملية تشغيل Windows أكثر أمانًا، يبدو أن هناك كومة متزايدة من العيوب التي تجعله غير آمن على النحو المنشود”. تحليل وكالة الأمن. “إن لعبة SecureBoot مربكة لأنها ليست لعبة خاصة بـ MS فقط، على الرغم من أنها تمتلك مفاتيح المملكة. يمكن أن تؤثر أي ثغرة أمنية في مكونات SecureBoot على جهاز كمبيوتر يعمل بنظام Windows فقط وممكّن عليه SecureBoot. ولذلك، فمن المهم منع الأشخاص المعرضين لمرض التصلب العصبي المتعدد.