Un reciente parche de Windows, lanzado durante el ‘Patch Tuesday’ (la recopilación de parches mensual de Microsoft), ha provocado que muchos sistemas con arranque dual Windows/Linux no puedan iniciar correctamente en Linux. Este error, reportado por usuarios de diversas distribuciones, muestra mensajes como
«Something has gone seriously wrong [Algo ha ido verdaderamente mal]: SBAT self-check failed».
El parche provocó que los cargadores de arranque de Linux, que no estaban preparados para esta actualización, fallaran al arrancar bajo las condiciones impuestas por «Secure Boot». Lo más preocupante es que Microsoft no detectó este problema durante las pruebas previas a la implementación de la actualización. Hasta la fecha, la compañía no ha emitido ninguna declaración oficial.
El objetivo del parche en cuestión era el de corregir una vulnerabilidad crítica identificada como CVE-2022-2601, que permitía a atacantes eludir la función de ‘Secure Boot’ mediante el uso de GRUB (un cargador de arranque de código abierto). Microsoft había asegurado que la actualización no afectaría a sistemas con arranque dual, sin embargo, debido a un error, el parche fue desplegado también en estas instalaciones, lo que ha desencadenado los problemas para miles de usuarios: al fin y al cabo, Windows es el sistema operativo que más frecuentemente coexiste con la mayoría de distribuciones de Linux.
El parche provocó que los cargadores de arranque de Linux, que no estaban preparados para esta actualización, fallaran al arrancar bajo las condiciones impuestas por «Secure Boot». Hasta la fecha, la compañía no ha emitido ninguna declaración oficial.
-El papel de Secure Boot (y una posible solución)
Los usuarios afectados han visto cómo sus dispositivos no pueden arrancar en Linux cuando el Secure Boot está habilitado. Por ello, aunque Microsoft aún no ha ofrecido una solución oficial ni ha reconocido públicamente el problema, hay una forma de solucionar temporalmente el inconveniente:
- Desactiva Secure Boot en la BIOS.
- Inicia sesión en Linux con una cuenta de usuario que tenga privilegios de ‘sudo’.
- Ejecuta el comando ‘sudo mokutil –set-sbat-policy delete’ en la terminal para eliminar la política SBAT de Microsoft.
- Reinicia el sistema y, una vez dentro, vuelve a habilitar Secure Boot en la BIOS.
Este incidente es solo el más reciente en una serie de problemas relacionados con Secure Boot, una tecnología que (aunque diseñada para mejorar la seguridad en el arranque del sistema y así protegernos ante amenazas de firmware malicioso) se ha ‘hecho gala’ de múltiples vulnerabilidades en los últimos años. La situación subraya las complicaciones de mantener un entorno seguro cuando diferentes sistemas operativos comparten un mismo hardware.