Microsoft spiega come riparare il dual boot... con Linux

Dopo l’avvenuta installazione degli aggiornamenti Microsoft di ferragosto 2024, tanti utenti che utilizzavano configurazioni in dual boot tra Linux e Windows, si sono ritrovati nell’impossibilità di avviare regolarmente il sistema. L’azienda di Redmond ha presentato una soluzione che aiuta a ripristinare il funzionamento di tutti quei sistemi che mostrano il seguente errore: “Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation“. L’approccio proposto da Microsoft per riparare il dual boot è di fatto incentrato sull’utilizzo di Linux.

Come abbiamo sottolineato in un altro nostro articolo, l’errore in avvio è determinato dall’aggiornamento applicato da Microsoft sul componente chiamato Secure Boot Advanced Targeting (SBAT), sviluppato con il preciso obiettivo di bloccare i bootloader vulnerabili. Nel caso specifico, con le patch distribuite ad agosto, la società guidata da Satya Nadella ha implementato su larga scala una correzione per il problema di sicurezza CVE-2022-2601 relativo a GRUB2, che consente – se sfruttato – di superare le misure di protezione di Secure Boot.

Rivolgendosi agli utenti in difficoltà dopo l’applicazione degli aggiornamenti di sicurezza, che ad oggi non sono in grado di avviare i loro sistemi con dual boot Linux-Windows e funzionalità Secure Boot abilitata, Microsoft suggerisce di disinstallare l’update relativo a SBAT e impostare che le future patch SBAT non siano installate.

Come ripristinare l’avvio del sistema configurato in dual boot tra Linux e Windows

Per “riportare in vita” i sistemi che presentano l’errore “Something has gone seriously wrong: SBAT self-check failed” in fase di avvio, Microsoft propone una procedura guidata per risolvere definitivamente il problema:

• Accedere alle impostazioni del BIOS UEFI quindi disattivare la funzionalità Secure Boot.
• Avviare Linux quindi rimuovere l’aggiornamento SBAT. Per procedere in tal senso, basta aprire una finestra del terminale e digitare quanto segue: sudo mokutil --set-sbat-policy delete
• Riavviare a macchina quindi tornare in ambiente Linux.
• Digitare mokutil --list-sbat-revocations e controllare che la lista di revoca sia completamente vuota.
• Tornare nel BIOS UEFI quindi riabilitare la funzionalità Secure Boot.
• Da Linux, controllare lo stato di Secure Boot utilizzando il comando seguente: mokutil --sb-state. La risposta deve corrispondere a SecureBoot enabled. Diversamente, controllare che Secure Boot sia correttamente abilitato nel BIOS UEFI.
• Dopo un ulteriore riavvio del sistema, accedere a Windows quindi impedire eventuali futuri aggiornamenti SBAT. Per procedere, digitare cmd nella casella di ricerca, scegliere Esegui come amministratore quindi digitare quanto segue:
  reg add HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD /f

I tecnici Microsoft osservano che, a questo punto, si dovrebbe essere in grado di gestire il dual boot Linux-Windows esattamente come in precedenza (prima dell’applicazione delle patch). Dall’azienda guidata da Satya Nadella, si consiglia di installare tutti gli aggiornamenti Linux eventualmente rimasti in sospeso.

Microsoft ha comunque avviato una serie di verifiche con i “partner Linux” e si impegna a condividere ulteriori notizie non appena saranno disponibili.

Credit immagine in apertura: Copilot Designer