Microsoft publica solución para error de arranque dual en Linux

Actualizado el 25 agosto, 2024 10:08:10

Microsoft ha ofrecido una solución temporal para solucionar un problema conocido que impide que Linux arranque en sistemas de arranque dual con Secure Boot activado.

La compañía señala que esta solución puede ayudar a los usuarios de Linux a restaurar sistemas que no inician correctamente y que muestran mensajes de error como «Algo ha ido muy mal: la autocomprobación de SBAT ha fallado: violación de la política de seguridad» después de instalar las actualizaciones de seguridad de Windows de agosto de 2024.

Numerosos usuarios de Linux informaron haber sido afectados por este problema tras el Martes de Parches de este mes.

Los afectados indicaron que sus sistemas (que utilizan diversas distribuciones, como Ubuntu, Linux Mint, Zorin OS y Puppy Linux, entre otras) dejaron de arrancar en Linux después de instalar las actualizaciones acumulativas de Windows.

El problema fue causado por una actualización de Secure Boot Advanced Targeting (SBAT), diseñada para bloquear los cargadores de arranque UEFI shim que son vulnerables a ataques que intentan eludir la seguridad de arranque de GRUB2 (CVE-2022-2601).

En el momento del lanzamiento, Microsoft indicó que la actualización no se aplicaría a dispositivos con arranque dual detectado.

No obstante, tras reconocer el problema esta semana, Microsoft también confirmó que «la detección del arranque dual no identificó algunos métodos personalizados de arranque dual, y aplicó el valor SBAT cuando no debía haberse aplicado«.

arranque dual
El arranque de Linux falla después de una actualización de seguridad de Windows (Ok_Work_5257).

Solución

Si ya instalaste las actualizaciones de Windows de agosto de 2024 y no puedes iniciar Linux en sistemas de arranque dual, Microsoft recomienda desinstalar la actualización de SBAT y asegurarse de que no se instalen más actualizaciones de SBAT en el futuro.

Para hacerlo, siga estos pasos:

  • Desactive el Arranque Seguro accediendo a la configuración del firmware de su dispositivo. Los pasos para hacer esto varían según el fabricante.
  • Elimine la actualización de SBAT iniciando Linux y ejecutando el comando sudo mokutil --set-sbat-policy delete. Luego, reinicie el sistema.
  • Verifique las revocaciones de SBAT ejecutando el comando mokutil --list-sbat-revocations y asegúrese de que el resultado esté vacío.
  • Vuelva a habilitar el Arranque Seguro desde la configuración del firmware de su dispositivo.
  • Verifique el estado del Arranque Seguro iniciando en Linux y ejecutando el comando mokutil --sb-state. Asegúrese de que el resultado sea «SecureBoot habilitado«. Si no lo es, repita el paso 4.
  • Para evitar futuras actualizaciones de SBAT en Windows, ejecute el siguiente comando en una ventana del símbolo del sistema como administrador:
				
					reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD
				
			

Después de completar estos pasos, debería poder iniciar Linux o Windows como antes. Es un buen momento para instalar las actualizaciones de Linux pendientes para garantizar la seguridad de su sistema.

La empresa continúa investigando el problema junto con sus socios de Linux y proporcionará más actualizaciones a medida que haya nueva información disponible.

Sobre el mismo argumento...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Más leídos (últimos 30 días)

Archivo

Argumentos