GRUB et mise à jour Windows: « Quelque chose s'est sérieusement mal passé »
-
Si vous utilisez grub pour gérer le double (ou le multiple boot), « Quelque chose s’est sérieusement mal passé » avec la mise à jour de windows qui n’aurait pas dut s’installer.
Mais voici le remède (voir l’encadré)
Microsoft avait déclaré que sa mise à jour ne s’installerait pas sur les appareils Linux. C’est quand même le cas.
Mardi dernier, de nombreux utilisateurs de Linux (de nombreux packages exécutant des packages publiés dès cette année) ont commencé à signaler que leurs appareils ne parvenaient pas à démarrer. Au lieu de cela, ils ont reçu un message d’erreur énigmatique contenant la phrase : « Quelque chose s’est sérieusement mal passé ».
La cause : une mise à jour publiée par Microsoft dans le cadre de sa publication mensuelle de correctifs. Il était destiné à combler une vulnérabilité vieille de 2 ans dans GRUB , un chargeur de démarrage open source utilisé pour démarrer de nombreux appareils Linux. La vulnérabilité, avec un indice de gravité de 8,6 sur 10, a permis aux pirates de contourner le démarrage sécurisé, la norme industrielle permettant de garantir que les appareils exécutant Windows ou d’autres systèmes d’exploitation ne chargent pas de micrologiciels ou de logiciels malveillants pendant le processus de démarrage. CVE-2022-2601 a été découvert en 2022, mais pour des raisons peu claires, Microsoft ne l’a corrigé que mardi dernier.
Plusieurs distributions, nouvelles et anciennes, affectées
La mise à jour de mardi a empêché les appareils à double démarrage, c’est-à-dire ceux configurés pour exécuter à la fois Windows et Linux, de démarrer sous ce dernier lorsque le démarrage sécurisé a été appliqué. Lorsque les utilisateurs essayaient de charger Linux, ils recevaient le message : « Échec de la vérification des données shim SBAT : violation de la politique de sécurité. Quelque chose ne va vraiment pas : échec de l’auto-vérification SBAT : violation de la politique de sécurité. Presque immédiatement, de support et de discussion les forums se sont éclairés avec des rapports faisant état de l’ échec .
“Notez que Windows indique que cette mise à jour ne s’appliquera pas aux systèmes qui effectuent un double démarrage Windows et Linux”, a écrit une personne frustrée. « Ce n’est évidemment pas vrai et cela dépend probablement de la configuration de votre système et de la distribution exécutée. Il semble avoir rendu certains chargeurs de démarrage Linux efi shim incompatibles avec les chargeurs de démarrage microcrap efi (c’est pourquoi le passage de MS efi à « un autre système d’exploitation » dans la configuration efi fonctionne). Il semble que Mint ait une version calée que MS SBAT ne reconnaît pas.
Les rapports indiquent que plusieurs distributions, dont Debian, Ubuntu, Linux Mint, Zorin OS, Puppy Linux, sont toutes concernées. Microsoft n’a pas encore reconnu publiquement l’erreur, expliqué pourquoi elle n’a pas été détectée lors des tests, ni fourni de conseils techniques aux personnes concernées. Les représentants de l’entreprise n’ont pas répondu à un e-mail demandant des réponses.
Le bulletin de Microsoft pour CVE-20220-2601 expliquait que la mise à jour installerait un SBAT – un mécanisme Linux permettant de révoquer divers composants dans le chemin de démarrage – mais uniquement sur les appareils configurés pour exécuter uniquement Windows. De cette façon, Secure Boot sur les appareils Windows ne serait plus vulnérable aux attaques chargeant un package GRUB exploitant la vulnérabilité. Microsoft a assuré aux utilisateurs que leurs systèmes à double démarrage ne seraient pas affectés, tout en avertissant que les appareils exécutant d’anciennes versions de Linux pourraient rencontrer des problèmes.
“La valeur SBAT ne s’applique pas aux systèmes à double démarrage qui démarrent à la fois Windows et Linux et ne devrait pas affecter ces systèmes”, indique le bulletin. « Vous constaterez peut-être que les anciennes ISO de distribution Linux ne démarrent pas. Si cela se produit, contactez votre fournisseur Linux pour obtenir une mise à jour.
En fait, la mise à jour a été appliquée aux appareils qui démarrent à la fois Windows et Linux. Cela inclut non seulement les périphériques à double démarrage, mais également les périphériques Windows capables de démarrer Linux à partir d’une image ISO , d’une clé USB ou d’un support optique. De plus, de nombreux systèmes concernés exécutent des versions Linux récemment publiées, notamment Ubuntu 24.04 et Debian 12.6.0.
Et maintenant ?
Alors que Microsoft maintient le silence radio, les personnes touchées par le problème ont été obligées de trouver leurs propres remèdes. Une option consiste à accéder à leur panneau EFI et à désactiver le démarrage sécurisé. Selon les besoins de sécurité de l’utilisateur, cette option peut ne pas être acceptable. Une meilleure option à court terme consiste à supprimer le SBAT lancé par Microsoft mardi dernier. Cela signifie que les utilisateurs bénéficieront toujours de certains des avantages du démarrage sécurisé même s’ils restent vulnérables aux attaques exploitant CVE-2022-2601. Les étapes de ce remède sont décrites ici (merci à manutheeng pour la référence).
Les étapes spécifiques sont les suivantes :
- Désactivez le démarrage sécurisé
- Connectez-vous à votre utilisateur Ubuntu et ouvrez un terminal
- Supprimez la stratégie SBAT avec :
Code : Tout sélectionner
sudo mokutil --set-sbat-policy supprimer
- Redémarrez votre PC et reconnectez-vous à Ubuntu pour mettre à jour la politique SBAT
- Redémarrez puis réactivez le démarrage sécurisé dans votre BIOS.
Cet incident est le dernier en date à souligner à quel point Secure Boot est devenu, ou a peut-être toujours été, un gâchis (mIcrosoft aussi). Au cours des 18 derniers mois, les chercheurs ont mis au jour au moins quatre vulnérabilités pouvant être exploitées pour neutraliser complètement le mécanisme de sécurité.
L’ instance la plus récente était le résultat de clés de test utilisées pour authentifier le démarrage sécurisé sur environ 500 modèles d’appareils. Les clés étaient marquées bien en évidence avec les mots « NE PAS FAIRE CONFIANCE ».
“En fin de compte, même si le démarrage sécurisé rend le démarrage de Windows plus sécurisé, il semble contenir un nombre croissant de failles qui le rendent moins sûr qu’il ne le devrait”, a déclaré Will Dormann, analyste principal des vulnérabilités chez société de sécurité Analygence. « SecureBoot est compliqué dans la mesure où il ne s’agit pas d’un jeu réservé uniquement à MS, bien qu’ils détiennent les clés du royaume. Toute vulnérabilité dans un composant SecureBoot peut affecter un système Windows uniquement compatible SecureBoot. En tant que tel, MS doit traiter/bloquer les éléments vulnérables.
