La sorpresa:

Un aggiornamento mensile di Windows rilasciato il 13 agosto ha bloccato i sistemi Dual Boot che eseguivano sia Windows che Linux.
L'aggiornamento, rilasciato il 13 agosto, mirava a correggere una vulnerabilità vecchia di due anni (!) (CVE-2022-2601) collegata al bootloader GRUB, ma, secondo Microsoft, ha causato inavvertitamente errori di avvio per molti utenti:

• "l'aggiornamento si applicherà ai "sistemi dual boot che avviano sia Windows che Linux e non dovrebbero influenzare questi sistemi."
• Ma in realtà... dopo l'aggiornamento, diversi utenti hanno segnalato di aver ricevuto il seguente (generico) errore: Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation'

Perché questa correzione?

La decisione di applicare un aggiornamento Secure Boot Advanced Targeting (SBAT) aveva lo scopo di impedire ad autori malintenzionati di eseguire scritture fuori limite, ed eventualmente ignorare l'avvio sicuro GRUB2.

Soluzione alternativa attuale (es su Ubuntu):

1. Disabilita avvio protetto
2. Accedi al tuo account utente Ubuntu e apri un terminale
3. Rimuovere la policy SBAT con:
Codice: Seleziona tutto
sudo mokutil --set-sbat-policy delete
4. Riavvia il PC e accedi nuovamente a Ubuntu per aggiornare la politica SBAT
5. Riavvia quindi riattiva Secure Boot nel BIOS.

Quali sono i passaggi successivi?

Dopo la dichiarazione di Microsoft: "Siamo consapevoli che alcuni scenari di avvio secondario stanno causando problemi ad alcuni clienti, soprattutto quando si utilizzano caricatori Linux obsoleti con codice vulnerabile. Stiamo lavorando con i nostri partner Linux per indagare e risolvere questo problema." stiamo aspettando una soluzione ufficiale.

Update

Ora, il 23 agosto, MS ha dichiarato "il rilevamento del dual-boot non ha rilevato alcuni metodi personalizzati di dual-boot e ha applicato il valore SBAT quando non avrebbe dovuto essere applicato." e consiglia di eliminare l'aggiornamento SBAT e di assicurarsi che i futuri aggiornamenti SBAT non verranno più installati.

1. Disabilita l'avvio protetto dopo l'avvio nelle impostazioni del firmware del tuo dispositivo (questo richiede passaggi diversi per ogni produttore).
2. Elimina l'aggiornamento SBAT avviando Linux ed eseguendo il comando sudo mokutil --set-sbat-policy delete e riavviando.
3. Verifica le revoche SBAT eseguendo il comando mokutil --list-sbat-revocations e assicurandoti che sia vuoto.
4. Riattiva l'avvio protetto dalle impostazioni del firmware del tuo dispositivo.
5. Controlla lo stato di Secure Boot avviando Linux, eseguendo il comando mokutil --sb-state e assicurandoti che l'output sia "SecureBoot abilitato". Se no, riprova il quarto passaggio.
6. Previeni futuri aggiornamenti SBAT in Windows eseguendo il seguente comando da una finestra del prompt dei comandi come amministratore:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD

Crediti (tra gli altri):
Microsoft: Impact-linux-boot-in-dual-boot-setup-devices
Ars Technica: Problema di dual boot per alcuni utenti Linux
Il registro:Patch dual boot Microsoft
CVE: CVE-2022-2601