{"id":300086,"date":"2024-08-22T23:20:54","date_gmt":"2024-08-22T21:20:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=300086"},"modified":"2024-08-23T23:46:37","modified_gmt":"2024-08-23T21:46:37","slug":"microsoft-uert-sich-zu-per-windows-august-2024-update-lahm-gelegtem-linux-boot","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/22\/microsoft-uert-sich-zu-per-windows-august-2024-update-lahm-gelegtem-linux-boot\/","title":{"rendered":"Microsoft &auml;u&szlig;ert sich zu per Windows August 2024-Update lahm gelegtem Linux-Boot"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/11\/Linux.jpg\" width=\"64\" height=\"76\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/08\/22\/microsoft-responds-to-linux-boot-bricked-by-windows-august-2024-update\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die August 2024-Updates f\u00fcr Windows haben bei Linux-Nutzern f\u00fcr einen Kollateralschaden gesorgt. Durch eine Umstellung des Boot-Mechanismus auf Secure Boot Advanced Targeting (SBAT) verweigerte der Linux-Boot-Lader bei Dual-Boot-Systemen im Anschluss an die Update-Installation den Start. Nun hat Microsoft sich zu den Gr\u00fcnden ge\u00e4u\u00dfert und versucht, das Ganze zu erkl\u00e4ren. <strong>Erg\u00e4nzung:<\/strong> Das Problem k\u00f6nnte auch Backup-L\u00f6sungen betreffen.<\/p>\n<p><!--more--><\/p>\n<h2>R\u00fcckblick auf das Linux-Boot-Problem<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/979153bc53be48dc9595787817aa2b07\" alt=\"\" width=\"1\" height=\"1\" \/>Microsoft hat mit den Windows August 2024 Sicherheitsupdates beim Secure Boot das sogenannte Advanced Targeting (SBAT) f\u00fcr alle unterst\u00fctzten Windows Versionen eingef\u00fchrt. Ziel ist, zu verhindern, dass kompromittierte oder veraltete Linux EFI (Shim-Bootloader) ausgef\u00fchrt werden. In den betreffenden Supportbeitr\u00e4gen hei\u00dft es dazu:<\/p>\n<blockquote><p><b>[Secure Boot Advanced Targeting (SBAT) and Linux Extensible Firmware Interface (EFI)] <\/b>This update applies SBAT to systems that run Windows. This stops vulnerable Linux EFI (Shim bootloaders) from running. This SBAT update will not apply to systems that dual-boot Windows and Linux. After the SBAT update is applied, older Linux ISO images might not boot. If this occurs, work with your Linux vendor to get an updated ISO image.<\/p><\/blockquote>\n<p>Problem ist aber, dass es &#8211; entgegen der Aussage Microsofts &#8211; auch Dual-Boot-Systeme getroffen hat. Und es waren auch aktuelle Linux-Distributionen betroffen. Ich hatte das Thema im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/08\/19\/windows-august-2024-update-legt-linux-boot-lahm\/\">Windows August 2024-Update legt Linux-Boot lahm<\/a> aufgegriffen.<\/p>\n<h2>Microsoft \u00e4u\u00dfert sich<\/h2>\n<p>Microsoft hat zum 22. August 2024 auf der <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/release-health\/\" target=\"_blank\" rel=\"noopener\">Release Health-Statusseite<\/a> f\u00fcr Windows (z.B. f\u00fcr Windows 11) im Know Issues-Abschnitt den Beitrag <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/release-health\/status-windows-11-23H2#3377msgdesc\" target=\"_blank\" rel=\"noopener\">August 2024 security update might impact Linux boot in dual-boot setup devices<\/a> mit Erkl\u00e4rungen ver\u00f6ffentlicht. Redmond best\u00e4tigt dort, dass es nach der Installation des Windows-Sicherheitsupdates vom 13. August 2024 (z.B. KB5041585 f\u00fcr Windows 11) zu Linux Boot-Problemen kommen kann. Das Problem soll auftreten, wenn das Dual-Boot-Setup f\u00fcr Windows und Linux dem System aktiviert ist. Linux l\u00e4sst sich dann nicht mehr starten und scheitert mit der Fehlermeldung:<\/p>\n<blockquote><p>Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation.<\/p><\/blockquote>\n<p>Der Windows-Hersteller erkl\u00e4rt im Supportbeitrag, dass das Windows-Sicherheitsupdate vom August 2024 eine Secure Boot Advanced Targeting (SBAT)-Einstellung auf Ger\u00e4te anwendet, auf denen Windows l\u00e4uft. Ziel soll es sein, alte, anf\u00e4llige Bootmanager zu blockieren. Auch dort wird (f\u00e4lschlich) wiederholt, dass dieses SBAT-Update nicht auf Ger\u00e4te angewendet wird, auf denen Dual-Boot erkannt wird. Denn in diesem Fall d\u00fcrfte es ja keine Probleme mit Dual-Boot-Installationen geben.<\/p>\n<p>In einem Satz wird aber klar, dass bei Microsoft \"der Wunsch, Vater des Gedankens war\", denn Redmond musste kleinlaut eingestehen \"Auf einigen Ger\u00e4ten hat die Dual-Boot-Erkennung einige benutzerdefinierte Dual-Boot-Methoden nicht erkannt und den SBAT-Wert angewendet, obwohl er nicht h\u00e4tte angewendet werden d\u00fcrfen.\" Es ist die vornehmere Umschreibung von \"wir haben es mal wieder in bew\u00e4hrter Weise kolossal verkackt\".<\/p>\n<p>Real-Satire gef\u00e4llig?<\/p>\n<p>Ein bisserl Real-Satire schimmert dann in Microsofts Aussage \"Sie k\u00f6nnen \u00fcberpr\u00fcfen, ob die SBAT unter Linux aktiviert ist, indem Sie die folgenden Schritte ausf\u00fchren\" durch. Denn wer in Boot-Probleme gerauscht ist, wei\u00df inzwischen, dass er betroffen ist und steht vor dem Problem, auf dem nicht mehr bootenden Linux die folgenden Probleme ausf\u00fchren zu sollen:<\/p>\n<ul>\n<li>\u00d6ffnen Sie Ihr Terminalprogramm<\/li>\n<li>Geben Sie <em>mokutil &#8211;sb-state <\/em>ein und dr\u00fccken Sie Enter<\/li>\n<\/ul>\n<p>Dann soll der Nutzer in der Ausgabe nach dem SBAT-Status suchen. Ist SBAT aktiviert, wird dies angezeigt.<\/p>\n<h3>Secure Boot abschalten und SBAT l\u00f6schen<\/h3>\n<p>Wer das August 2024-Update installiert hat und in das Linux-Boot-Problem gelaufen ist, muss den Secure-Boot im UEFI abschalten. Wie das genau passiert, ist vom UEFI-Hersteller abh\u00e4ngig (bei manchen Mainboards ist Secure Boot nicht mehr abschaltbar). Danach sollte sich Linux booten und der nachfolgende Befehl in einem Terminalfenster eingeben lassen:<\/p>\n<pre>sudo mokutil --set-sbat-policy delete<\/pre>\n<p>Die Ausf\u00fchrung des obigen Befehls erfordert die Eingabe des root-Passworts f\u00fcr das Linux-System.\u00a0 Ob das Ganze geklappt hat, l\u00e4sst sich mit folgendem Terminal-Befehl pr\u00fcfen:<\/p>\n<pre>mokutil --list-sbat-revocations<\/pre>\n<p>Sofern kein SBAT mehr angezeigt wird, kann die Maschine neu gestartet und der Secure Boot im UEFI erneut eingeschaltet werden. Nun sollten sowie Linux als auch Windows wieder im abgesicherten Boot-Modus starten k\u00f6nnen.<\/p>\n<h2>SBAT-Installation verhindern<\/h2>\n<p>Um ein erneutes SBAT-Desaster durch die Update-Installationen zu verhindern, hat Microsoft einen besonderen Kniff verraten. Unter Windows sollte folgender Befehl f\u00fcr einen Eintrag in der Registrierung sorgen:<\/p>\n<pre>reg add HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecureBoot\\SBAT \/v OptOut \/d 1 \/t REG_DWORD<\/pre>\n<p>Der DWORD-Wert <u><em>OptOut=1<\/em><\/u> unter SBAT verhindert zuk\u00fcnftig, dass Windows-Update die betreffenden SBAT-Einstellungen bei den betreffenden Systemen manipulieren.<\/p>\n<h2>Betroffen waren &#8230;<\/h2>\n<p>Microsoft hat auch best\u00e4tigt, welche Windows-Updates bzw. Windows-Versionen von diesem SBAT-Deaster betroffen waren. Es tangiert sowohl Clients als auch Server:<\/p>\n<ul>\n<li>Windows 11 Version 21H2 &#8211; 23H2<\/li>\n<li>Windows 10, Version 21H2 &#8211; 22H2<\/li>\n<li>Windows 10 Enterprise 2015 LTSB<\/li>\n<li>Windows Server 2022<\/li>\n<li>Windows Server 2019<\/li>\n<li>Windows Server 2016<\/li>\n<li>Windows Server 2012 R2<\/li>\n<li>Windows Server 2012<\/li>\n<\/ul>\n<p>Aufgefallen ist mir, dass Microsoft Windows 10 Enterprise 2016 LTSB in seinem Support-Beitrag nicht auff\u00fchrt, w\u00e4hrend Windows Server 2016 als betroffen genannt ist. Ich gehe davon aus, dass Microsoft schlicht die Windows 10-Versionen in der Aufstellung vergessen hat. Aktuell untersuchen die Microsoft-Leute das Problem zusammen mit den Linux-Partnern und plant ein Update bereitzustellen. Wann dies der Fall ist, bliebt aktuell offen.<\/p>\n<h2>Backup-\/Verschl\u00fcsselungs-L\u00f6sungen betroffen<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Das Problem k\u00f6nnte auch Backup-L\u00f6sungen betreffen, wenn die L\u00f6sung ein Linux-Betriebssystem booten muss, um das Backup zur\u00fcckzuspielen. Ein Blog-Leser informierte mich per Mail zudem \u00fcber eine andere Klippe und schrieb: \"In unserem Unternehmen ist das auch wichtig, das unser Festplattenverschl\u00fcsselungssoftware-Hersteller (nicht Microsoft) uns per Newsletter informiert hat, dass uns nach Installation der Patches das gleiche Schicksal bl\u00fcht, wie bei Linux-Dualboot.\"<\/p>\n<p>Die Eintr\u00e4ge in der Registry, die oben genannt wurden, ist f\u00fcr diesen Leser bei mehreren tausend Ger\u00e4ten keine Option. Den Leser treibt nun die Frage um: \"Wenn jetzt das Ausf\u00fchren der SBAT-\u00c4nderung \u00fcbersprungen wird, und die die August-Patches problemlos installiert wurden &#8211; was passiert, wenn er in x Monaten nach dem Updaten der Festplattenverschl\u00fcsselungssoftware den Registry-Wert wieder entfernt?\"<\/p>\n<p>Der Leser will ich ja nicht durch tempor\u00e4res Pausieren des SBAT-Updates f\u00fcr immer damit leben m\u00fcssen, dass unsichere GRUB2-Versionen zugelassen sind, die eine L\u00fccke enthalten, womit Secure Boot ausgehebelt werden kann.<\/p>\n<p>Die Frage die sich stellt: \"Zieht Windows bei entferntem Registry-Eintrag dann das SBAT-Update im Rahmen des n\u00e4chsten regul\u00e4ren Patchday per kumulativem Update doch wieder? Leider sei Microsoft da nicht sehr auskunftsfreudig, meint der Leser und fragt, wie andere Administratoren das sehen?<\/p>\n<p>Der Leser merkt noch an, dass Microsoft diesen Patch\u00a0nicht aus Spa\u00df ver\u00f6ffentlicht habe. Mit dem Update sollten lediglich veraltete GRUB2-Versionen blockiert werden, die anf\u00e4llig f\u00fcr <a href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2022-2601\" target=\"_blank\" rel=\"noopener\">CVE-2022-2601<\/a> sind. Wobei der Leser den Gedanken hatte: \"Wie kann es sein, dass scheinbar so viele Installationen noch mit anf\u00e4lligem\/veraltetem GRUB2 arbeiten?<\/p>\n<p>Zu dieser Aussage kann ich nichts finales sagen, aber es ist auff\u00e4llig, dass selbst ein aktuelles Ubuntu streikt und demnach mit einem \"veralteten GRUB2-Loader\" daher kommt. Kommt mir spanisch vor.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/08\/14\/microsoft-security-update-summary-13-august-2024\/\">Microsoft Security Update Summary (9. Juli 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/08\/14\/patchday-windows-10-server-updates-13-august-2024\/\">Patchday: Windows 10\/Server-Updates (13. August 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/08\/16\/windows-server-2019-windows-10-enterprise-2019-ltsc-probleme-mit-update-kb5041578\/\">Windows Server 2019\/Windows 10 Enterprise 2019 LTSC: Performance-Probleme mit Update KB5041578<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/08\/19\/windows-august-2024-update-legt-linux-boot-lahm\/\">Windows August 2024-Update legt Linux-Boot lahm<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/08\/22\/microsoft-uert-sich-zu-per-windows-august-2024-update-lahm-gelegtem-linux-boot\/\">Microsoft \u00e4u\u00dfert sich zu per Windows August 2024-Update lahm gelegtem Linux-Boot<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die August 2024-Updates f\u00fcr Windows haben bei Linux-Nutzern f\u00fcr einen Kollateralschaden gesorgt. Durch eine Umstellung des Boot-Mechanismus auf Secure Boot Advanced Targeting (SBAT) verweigerte der Linux-Boot-Lader bei Dual-Boot-Systemen im Anschluss an die Update-Installation den Start. Nun hat Microsoft sich zu &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/08\/22\/microsoft-uert-sich-zu-per-windows-august-2024-update-lahm-gelegtem-linux-boot\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,185,301],"tags":[4305,24,3288],"class_list":["post-300086","post","type-post","status-publish","format-standard","hentry","category-linux","category-update","category-windows","tag-linux","tag-problem","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300086","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=300086"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/300086\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=300086"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=300086"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=300086"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}