En los últimos días, usuarios de todo el mundo han comenzado a reportar problemas graves con el arranque dual boot en Linux después de instalar la actualización KB5041585 de Windows 11 23H2, lanzada en agosto de 2024 como parte de las actualizaciones de seguridad del Patch Tuesday.
El problema, que afecta a aquellos con arranque dual boot en Linux y Secure Boot habilitado, ha generado una gran preocupación entre la comunidad de usuarios de Linux. Según estos reportes, después de instalar la actualización, muchos sistemas que anteriormente podían iniciar tanto Windows como Linux han dejado de arrancar Linux por completo. Las distribuciones afectadas incluyen Ubuntu, Linux Mint, Zorin OS, Puppy Linux, entre otras.
La causa del problema: SBAT y el parche de seguridad
Microsoft ha informado que la raíz del problema proviene de la implementación de una actualización dirigida a Secure Boot Advanced Targeting (SBAT). Esta actualización fue diseñada para bloquear los cargadores de arranque de Linux que no hayan sido parcheados contra la vulnerabilidad de seguridad CVE-2022-2601, la cual afecta al cargador de arranque GRUB2 utilizado en muchas distribuciones de Linux.
La vulnerabilidad, según Microsoft, permite la elusión de las medidas de Secure Boot, lo que podría tener un impacto en la seguridad de Windows. Por lo tanto, la actualización KB5041585 de Windows 11 23H2 se lanzó como una medida para asegurar que los sistemas que ejecutan Secure Boot no sean vulnerables a este fallo de seguridad.
En un comunicado reciente, Microsoft aclaró: «El valor SBAT no se aplica a los sistemas de arranque dual que ejecutan tanto Windows como Linux y no debería afectar a estos sistemas. Es posible que los ISOs de distribuciones antiguas de Linux no arranquen. Si esto ocurre, recomendamos trabajar con su proveedor de Linux para obtener una actualización».
Los errores que enfrentan los usuarios con la actualización KB5041585 de Windows 11 23H2
A pesar de las afirmaciones de Microsoft, los usuarios afectados informan que, después de instalar la actualización, sus sistemas muestran errores como «Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation» al intentar arrancar en Linux. En algunos casos, los dispositivos afectados incluso se apagan de manera inmediata tras estos errores.
El problema ha causado interrupciones significativas para aquellos que dependen de sistemas de arranque dual, obligándolos a buscar soluciones alternativas. Muchos han intentado resolver el problema eliminando la política SBAT o restaurando los valores de Secure Boot a la configuración de fábrica, pero hasta ahora, estos métodos no han funcionado de manera efectiva.
Solución temporal: Desactivar Secure Boot
Actualmente, la única solución viable para muchos usuarios es deshabilitar Secure Boot, lo que permite instalar y arrancar la distribución de Linux. Sin embargo, esta solución conlleva un riesgo de seguridad, ya que desactivar Secure Boot puede dejar el sistema más vulnerable a amenazas potenciales.
Una vez arrancado el sistema Linux, es posible actualizarlo a la última versión disponible de la distribución para que se aplique el parche al cargador de arranque GRUB2. Por lo tanto, después, es posible volver a activar Secure Boot y que el equipo arranque sin problema.
Microsoft aún no ha reconocido oficialmente que la actualización KB5041585 de Windows 11 23H2 pueda estar causando estos problemas en sistemas de arranque dual boot en Linux. Mientras tanto, los usuarios de Linux afectados por esta situación esperan que se ofrezca una solución definitiva que permita continuar utilizando ambos sistemas operativos sin comprometer la seguridad de sus dispositivos.
Problemas con una actualización, dice. No sé si creerlo…
En Linux Mint 22 no ocurre esto, se ve por tener la ultima versión de Grub!!!
Bien por Linux Mint 22.