Microsoft update blocked Linux systems worldwide

La semana pasada, muchos usuarios de Linux se enfrentaron a un problema grave: sus dispositivos dejaron de arrancar después de una actualización lanzada por Microsoft como parte de Patch Tuesday. En lugar de iniciar el sistema, normalmente, se mostraba un mensaje de error.

La causa fue un error en la actualización, que corregía una vulnerabilidad de dos años en GRUB, el cargador de arranque utilizado para iniciar muchos dispositivos con Linux.

La vulnerabilidad CVE-2022-2601 (puntuación CVSS: 8.6) permitía a los atacantes eludir Secure Boot, un estándar de seguridad que garantiza que los dispositivos no carguen software malicioso o firmware durante el arranque. La vulnerabilidad se descubrió en 2022, pero por razones desconocidas, Microsoft la corrigió solo ahora.

La actualización afectó a dispositivos con arranque dual (dual-boot), en los que están instalados tanto Windows como Linux. Al intentar arrancar Linux, los usuarios se encontraban con el mensaje: «Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation».

Pronto, los foros de soporte y de discusión se llenaron de mensajes sobre el problema. Los usuarios señalaban que, a pesar de las garantías de Microsoft, la actualización realmente afectó a los sistemas con arranque dual. Según los usuarios, el error está relacionado con la incompatibilidad de algunas versiones del cargador de arranque de Linux con el nuevo microcódigo EFI de Microsoft. Entre los afectados se encontraban distribuciones populares como Debian, Ubuntu, Linux Mint, Zorin OS y Puppy Linux.

Hasta ahora, Microsoft no ha reconocido públicamente la existencia del error, no ha explicado por qué no se detectó durante las pruebas y no ha proporcionado recomendaciones técnicas para los usuarios afectados. En el boletín de CVE-2022-2601, Microsoft aseguró que la actualización instalaría SBAT, un mecanismo de Linux para revocar varios componentes en la ruta de arranque, pero solo en dispositivos que funcionan exclusivamente con Windows. La actualización no debería haber afectado a los sistemas con arranque dual. Sin embargo, en la práctica, esto no fue así, lo que provocó indignación entre los usuarios.

Algunos usuarios encontraron una solución temporal al problema: desactivar Secure Boot a través del panel EFI. Sin embargo, este método puede no ser aceptable para aquellos que necesitan la protección de Secure Boot. Otra opción es eliminar la política SBAT implementada por Microsoft.

Pasos específicos:

1. Desactive Secure Boot;
2. Inicie sesión en el sistema como usuario de Ubuntu y abra la terminal;
3. Elimine la política SBAT con: sudo mokutil --set-sbat-policy delete
4. Reinicie el ordenador e inicie sesión nuevamente en Ubuntu para actualizar la política SBAT;
5. Reinicie el ordenador y luego vuelva a activar Secure Boot en la BIOS.

Estas acciones permitirán conservar parte de los beneficios de Secure Boot, aunque los usuarios seguirán siendo vulnerables a los ataques.