Gambar Getty
Selasa lalu, banyak pengguna Linux—banyak yang menjalankan paket yang dirilis awal tahun ini—mulai melaporkan perangkat mereka gagal melakukan booting. Sebaliknya, mereka menerima pesan kesalahan samar yang menyertakan frasa: “Ada yang salah serius.”
Penyebabnya: sebuah memperbarui Microsoft mengeluarkannya sebagai bagian dari rilis patch bulanannya. Hal ini dimaksudkan untuk menutup Kerentanan berusia 2 tahun di dalam KACANGboot loader sumber terbuka yang digunakan untuk memulai banyak perangkat Linux. Kerentanan tersebut, dengan peringkat keparahan 8,6 dari 10, memungkinkan peretas untuk melewati boot aman, standar industri untuk memastikan bahwa perangkat yang menjalankan Windows atau sistem operasi lain tidak memuat firmware atau perangkat lunak berbahaya selama proses boot. CVE-2022-2601 ditemukan pada tahun 2022, tetapi karena alasan yang tidak jelas, Microsoft baru menambalnya Selasa lalu.
Banyak distro, baik yang baru maupun lama, yang terpengaruh
Pembaruan hari Selasa menyebabkan perangkat dual-boot—yang berarti perangkat yang dikonfigurasi untuk menjalankan Windows dan Linux—tidak dapat lagi melakukan booting ke Linux saat Secure Boot diterapkan. Saat pengguna mencoba memuat Linux, mereka menerima pesan: “Verifikasi data SBAT shim gagal: Pelanggaran Kebijakan Keamanan. Ada yang salah: Pemeriksaan mandiri SBAT gagal: Pelanggaran Kebijakan Keamanan.” Hampir seketika mendukung Dan diskusi forum diskusi menyala dengan laporan dari kegagalan.
“Perlu dicatat bahwa Windows mengatakan pembaruan ini tidak akan berlaku untuk sistem yang menjalankan dual-boot Windows dan Linux,” tulis seseorang yang frustrasi. “Ini jelas tidak benar, dan kemungkinan besar bergantung pada konfigurasi sistem dan distribusi yang dijalankan. Tampaknya hal itu membuat beberapa bootloader shim efi linux tidak kompatibel dengan bootloader efi microcrap (itulah sebabnya beralih dari MS efi ke 'OS lain' dalam pengaturan efi berhasil). Tampaknya Mint memiliki versi shim yang tidak dikenali MS SBAT.”
Laporan tersebut menunjukkan bahwa beberapa distribusi, termasuk Debian, Ubuntu, Linux Mint, Zorin OS, Puppy Linux, semuanya terpengaruh. Microsoft belum mengakui kesalahan tersebut secara publik, menjelaskan bagaimana kesalahan tersebut tidak terdeteksi selama pengujian, atau memberikan panduan teknis kepada mereka yang terpengaruh. Perwakilan perusahaan tidak menanggapi email yang meminta jawaban.
Buletin Microsoft untuk CVE-20220-2601 menjelaskan bahwa pembaruan akan menginstal SBAT—mekanisme Linux untuk mencabut berbagai komponen di jalur boot—tetapi hanya pada perangkat yang dikonfigurasi untuk menjalankan Windows saja. Dengan demikian, Secure Boot pada perangkat Windows tidak akan lagi rentan terhadap serangan yang memuat paket GRUB yang mengeksploitasi kerentanan tersebut. Microsoft meyakinkan pengguna bahwa sistem dual-boot mereka tidak akan terpengaruh, meskipun memperingatkan bahwa perangkat yang menjalankan Linux versi lama dapat mengalami masalah.
“Nilai SBAT tidak berlaku untuk sistem dual-boot yang menjalankan Windows dan Linux dan seharusnya tidak memengaruhi sistem ini,” demikian bunyi buletin tersebut. “Anda mungkin menemukan bahwa ISO distribusi Linux yang lama tidak dapat dijalankan. Jika ini terjadi, hubungi vendor Linux Anda untuk mendapatkan pembaruan.”
Faktanya, pembaruan memiliki telah diterapkan pada perangkat yang bisa melakukan booting Windows dan Linux. Hal ini tidak hanya mencakup perangkat dual-boot tetapi juga perangkat Windows yang bisa melakukan booting Linux dari Gambar ISOdrive USB, atau media optik. Selain itu, banyak sistem yang terpengaruh menjalankan versi Linux yang baru dirilis, termasuk Ubuntu 24.04 dan Debian 12.6.0.
Apa sekarang?
Karena Microsoft tidak memberikan komentar, mereka yang terkena dampak gangguan tersebut terpaksa mencari solusi mereka sendiri. Salah satu pilihannya adalah mengakses panel EFI mereka dan menonaktifkan boot aman. Bergantung pada kebutuhan keamanan pengguna, pilihan tersebut mungkin tidak dapat diterima. Pilihan jangka pendek yang lebih baik adalah menghapus SBAT yang dikeluarkan Microsoft Selasa lalu. Ini berarti pengguna akan tetap menerima beberapa manfaat dari Boot Aman meskipun mereka tetap rentan terhadap serangan yang mengeksploitasi CVE-2022-2601. Langkah-langkah untuk solusi ini diuraikan Di Sini (berkat manuteng untuk referensi).
Langkah-langkah spesifiknya adalah:
1. Nonaktifkan Boot Aman
2. Masuk ke pengguna Ubuntu Anda dan buka terminal
3. Hapus kebijakan SBAT dengan:Kode: Pilih semua
sudo mokutil –set-sbat-policy hapus
4. Nyalakan ulang PC Anda dan masuk kembali ke Ubuntu untuk memperbarui kebijakan SBAT
5. Nyalakan ulang dan aktifkan kembali boot aman di BIOS Anda.
Insiden ini merupakan insiden terbaru yang menggarisbawahi betapa kacaunya Secure Boot, atau mungkin selalu kacau. Selama 18 bulan terakhir, para peneliti telah menemukan setidaknya empat kerentanan yang dapat dimanfaatkan untuk sama sekali netralkan mekanisme keamananSebelumnya contoh terbaru merupakan hasil kunci uji yang digunakan untuk mengautentikasi Secure Boot pada sekitar 500 model perangkat. Kunci tersebut ditandai dengan jelas dengan kata-kata “JANGAN PERCAYA.”
“Pada akhirnya, meskipun Secure Boot memang membuat booting Windows lebih aman, tampaknya ada banyak kekurangan yang membuatnya tidak seaman yang diharapkan,” kata Will Dormann, analis kerentanan senior di firma keamanan Analygence. “SecureBoot menjadi rumit karena tidak hanya bisa digunakan oleh MS, meskipun mereka memiliki kunci kerajaan. Kerentanan apa pun dalam komponen SecureBoot dapat memengaruhi sistem Windows yang hanya bisa digunakan oleh SecureBoot. Karena itu, MS harus mengatasi/memblokir hal-hal yang rentan.”
