Microsoft reagiert auf lahmgelegte Linux-Bootloader durch Windows Update

Die Windows-Updates aus dem August haben Linuxe lahmgelegt und diese am Booten gehindert. Microsoft benennt nun die Ursache.

In Pocket speichern vorlesen Druckansicht 309 Kommentare lesen
Stilisiertes Bild: Türsteher vor "The Windows Club" lässt Pinguine nicht hinein

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 3 Min.
Von

Am Wochenende kristallisierte sich heraus, dass die Windows Updates im August dafür sorgten, dass zahlreiche Linux-Distributionen nicht mehr starteten. Ursache sind durch die Windows Updates gesperrte Bootloader – Microsoft erklärt nun, dass zu viele gesperrt wurden.

In einem Eintrag im Windows Release Health Center erörtert Microsoft, dass es nach der Installation der Windows-Updates aus dem August zu Startproblemen mit Linux kommen könne, sofern der Dual-Boot-Betrieb mit Windows und Linux eingerichtet wurde. Im Ergebnis könne das Gerät Linux nicht starten und die Fehlermeldung "Verifying shim SBAT data failed: Security Policy Violation. Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation" anzeigen.

Das August-Update füge eine Einstellung zum Secure Boot Advanced Targeting (SBAT) auf Geräten hinzu, auf denen Windows läuft, um alte, verwundbare Bootmanager zu blockieren. Dieses SBAT-Update wird nicht auf Geräten installiert, auf denen eine Dual-Boot-Konfiguration zum Einsatz kommt. Auf einigen Geräten sei diese Erkennung fehlgeschlagen, da dort etwa angepasste Dual-Boot-Optionen genutzt werden, wodurch die SBAT-Änderungen ergänzt wurden, obwohl das nicht geschehen sollte, erörtert Microsoft.

Die Autoren schlagen einen etwas halbherzigen Workaround vor: Sofern die Installation des August-Updates noch nicht mit einem Reboot abgeschlossen wurde, können potenziell Betroffene einen Registry-Schlüssel zum Opt-out nutzen, sodass das SBAT-Update nicht installiert wird. Der Schlüssel lasse sich später auch wieder löschen, wenn doch SBAT-Updates installiert werden sollen. Der Befehl zum Ergänzen des Schlüssels lautet laut Microsoft:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1 /t REG_DWORD

Microsoft ist den eigenen Angaben nach weiter dabei, das Problem zusammen mit den Linux-Partnern des Unternehmens zu untersuchen. Sofern dabei weitere Informationen herauskommen, will Microsoft diese herausgeben. Als betroffene Windows-Versionen listet Microsoft Windows 11 23H2, 22H2, 21H2, Windows 10 22H2, 21H2 und Windows 10 Enterprise 2015 LTSB sowie die Windows Server 2022, 2019, 2016, 2012 R2 und 2012.

Betroffenen bleibt im Regelfall also weiterhin nur, auf aktualisierte Images der Linux-Distributionen zu warten, die sich aufgrund aktualisierter Bootloader starten lassen. Als weitere Umgehungsmaßnahme können Betroffene Secure Boot deaktivieren – sie sollten jedoch sicherstellen, dann Sicherheitskopien der Bitlocker-Wiederherstellungsschlüssel im Zugriff zu haben, da Windows mitunter beim Start mit der Abfrage dieser Schlüssel auf Änderungen bei Secure Boot reagiert.

Am vergangenen Samstag wurde deutlich, dass die Windows Updates aus der Nacht zum vergangenen Mittwoch dafür sorgten, dass einige Installationsmedien und Live-Systeme von Linux-Distributionen nicht mehr starteten. Das betrifft auch populäre Distributionen wie Ubuntu 24.04 LTS oder darauf basierende Live-Systeme wie Desinfec't. Diese nutzen offenbar veraltete Bootloader, die durch neue Einträge für SBAT als unsicher markiert werden.

(dmk)