La surprise:

Une mise à jour mensuelle de Windows diffusée le 13 août a bloqué les systèmes Dual Boot exécutant à la fois Windows et Linux.
La mise à jour, publiée le 13 août, visait à corriger une vulnérabilité vieille de deux ans (!) (CVE-2022-2601) liée au GRUB bootloader, mais, selon Microsoft, a provoqué par inadvertance des échecs de démarrage pour de nombreux utilisateurs :

• "la mise à jour s'appliquerait aux "systèmes Dual boot qui démarrent à la fois Windows et Linux et ne devrait pas affecter ces systèmes".
• Mais en réalité... après la mise à jour, plusieurs utilisateurs ont signalé qu'ils avaient reçu l'erreur (quelque peu générique) suivante : Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation'

Pourquoi ce correctif ?

La décision d'appliquer une mise à jour Secure Boot Advanced Targeting (SBAT) était destinée à empêcher les acteurs malveillants d'effectuer des écritures hors limites, et éventuellement contourner le démarrage sécurisé GRUB2.

Solution de contournement actuelle (example sur Ubuntu):

1. Désactiver le démarrage sécurisé
2. Connectez-vous à votre compte d'utilisateur Ubuntu et ouvrez un terminal
3. Supprimez la politique SBAT avec:
Code: Sélectionner tout
sudo mokutil --set-sbat-policy delete
4. Redémarrez votre PC et reconnectez-vous à Ubuntu pour mettre à jour la politique SBAT
5. Redémarrez puis réactivez le démarrage sécurisé dans votre BIOS.

Quelles sont les prochaines étapes ?

Après la déclaration de Microsoft : "Nous sommes conscients que certains scénarios de démarrage secondaire causent des problèmes à certains clients, notamment lors de l'utilisation de chargeurs Linux obsolètes avec du code vulnérable. Nous travaillons avec nos partenaires Linux pour enquêter et résoudre ce problème." nous attendons une solution de contournement officielle.

Mise à jour

Maintenant, le 23 août, MS a déclaré "la détection du double démarrage n'a pas détecté certaines méthodes personnalisées de double démarrage et a appliqué la valeur SBAT alors qu'elle n'aurait pas dû l'être." et recommande de supprimer la mise à jour SBAT et de garantir que les futures mises à jour SBAT ne seront plus installées.

1. Désactivez le démarrage sécurisé après le démarrage dans les paramètres du firmware de votre appareil (cela nécessite des étapes différentes pour chaque fabricant).
2. Supprimez la mise à jour SBAT en démarrant Linux, en exécutant la commande sudo mokutil --set-sbat-policy delete et en redémarrant.
3. Vérifiez les révocations SBAT en exécutant la commande mokutil --list-sbat-revocations et en vous assurant qu'elle est vide.
4. Réactivez le démarrage sécurisé à partir des paramètres du firmware de votre appareil.
5. Vérifiez l'état du démarrage sécurisé en démarrant sous Linux, en exécutant la commande mokutil --sb-state et en vous assurant que le résultat est "SecureBoot activé". Si non, réessayez la 4ème étape.
6. Empêchez les futures mises à jour SBAT dans Windows en exécutant la commande suivante à partir d'une fenêtre d'invite de commande en tant qu'administrateur :
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD

Crédits (parmi d'autres):
Microsoft: Impact-linux-boot-in-dual-boot-setup-devices
Ars Technica: Désordre lié au double démarrage pour certains utilisateurs Linux
The Register:Double démarrage Microsoft correctif
CVE : CVE-2022-2601