Tanti utenti che hanno configurato il dual boot Linux, in modo da scegliere all’avvio del sistema se avviare una distribuzione del “pinguino” oppure Windows, stanno lamentando un grave problema dopo l’installazione delle patch Microsoft di agosto 2024. Gli aggiornamenti ufficiali dell’azienda di Redmond, infatti, sembrano impattare negativamente sul funzionamento del dual boot allorquando la funzionalità di protezione Secure Boot risulti a sua volta abilitata a livello di BIOS UEFI.
I tecnici dell’azienda di Redmond hanno infatti deciso di aggiornare il meccanismo SBAT (Secure Boot Advanced Targeting), una tecnologia sviluppata per migliorare la sicurezza del processo di avvio.
SBAT si integra nel sistema Secure Boot e offre un metodo per gestire e revocare le firme digitali associate ai componenti utilizzati e caricati in avvio, come bootloader e kernel. Quando un componente software è considerato non sicuro, SBAT rende obsoleta la sua firma e ne impedisce il caricamento durante il processo di avvio.
Come spiegato nel bollettino relativo alla vulnerabilità CVE-2022-2601, pubblicato da Microsoft a ridosso di ferragosto 2024, l’idea era quella di bloccare i bootloader Linux che non integrano la correzione per la falla di sicurezza descritta. Nello specifico, il problema CVE-2022-2601 riguarda un errore di buffer overflow che può verificarsi nel bootloader GRUB2 e che quindi può consentire a un attaccante di compromettere la memoria del sistema, andando potenzialmente ad eludere il meccanismo Secure Boot.
Linux in dual boot non si funziona più: ecco perché
La documentazione di supporto Microsoft, spiega che Windows è stato aggiornato in maniera tale che la falla di GRUB2 non si riverberi sul sistema operativo di Redmond. Tuttavia, le distribuzioni Linux più vecchie o non aggiornate, potrebbero non avviarsi più.
La comparsa del messaggio “Verifying shim SBAT data failed” in fase di avvio, sembra tuttavia interessare anche versioni più recenti di Ubuntu, Linux Mint, Zorin OS, Puppy Linux e di altre distribuzioni largamente utilizzate.
Il meccanismo noto come shim è utilizzato nei casi in cui il sistema operativo o il booloader non dispongono di una firma digitale valida accettata da Secure Boot. Lo shim mette d’accordo Secure Boot e il sistema operativo o il bootloader di terze parti.
Al momento non esiste un elenco delle distribuzioni e delle versioni Linux interessate dal problema. Inoltre, l’eliminazione del criterio SBAT o la cancellazione dell’installazione di Windows e il ripristino delle impostazioni di fabbrica di Secure Boot non sortiscono alcun risultato.
L’unico modo apparente per ripristinare il funzionamento della procedura di avvio è disattivare Secure Boot, installare l’ultima versione della propria distribuzione Linux preferita per poi riattivare Secure Boot come ultimo passo.
Credit immagine in apertura: Copilot Designer