Dualboot LNX MNT/ Win10- shim SBAT violation blockiert das Laden von Grub und performt einen Boot Loop

[AccountPasswort]

• Windows 10 Pro 22H2
• Dualboot encrypted Linux Mint via Grub
• Secure Boot enabled / UEFI
• Intel i7 - 4790
• ASUS MAXIMUS VI GENE (1603 latest)

Bisher keine Probleme und immer die Updates gezogen (was wohl der Auslöser war) für beide Systeme, Grub macht auch keine Probleme. Alles lief gut.

Heute morgen wollte ich normal ins Grub booten und bekomme vorher eine weiß auf schwarz Info, was in einem BootLoop endet:

“Verifying shim SBAT data failed: Security Policy Violation
Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation”

Ins Bios komme ich. Securboot ist bei mir aktiv. Seit dem SHIM Update gäbe es da Schwierigkeiten
Die andere Option ist "other OS", die ich später probiere um Linux zu booten (Siehe Lösungs-Ideen unten).
An DBX Optionen will ich nicht ran, weil keine Ahnung von. Angeblich wäre Linux auf dieser Liste gelandet.

Ich weiß nicht wie und ob, wenn ich Linux laden kann, ein Update von Linux, alles fixt und kanns nur probieren.
Bzw kann ich die unten angegeben Lösungen (siehe Links) probieren.

Habe lauter Schnippsel informationen und weiß nicht so recht wie ich handeln soll um nichts kaputt zu machen.
Finde es traurig dass der Prozess so läuft und meine keine Warnungen vorher bekommt.


Aus den Schnipseln ergeben sich folgende Ideen zur Problemlösung:

• disable Secure Boot mit der Option "other OS", Linux booten, SBAT policy löschen, reboot into Linux, SBAT update (weiß nicht wie). Weiß auch nicht ob das den bootvorgang ins Grub stört.
• resetting the Secure Boot Keys in Bios

Nach Rcherche betrifft das wohl diese Thematik :

• https://www.bleepingcomputer.com/ne...-shim-bootloader-impacts-major-linux-distros/
• https://www.heise.de/news/Bootloader-Luecke-gefaehrdet-viele-Linux-Distributionen-9624201.html
• https://forums.linuxmint.com/viewtopic.php?t=427297
• https://discourse.ubuntu.com/t/sbat-revocations-boot-process/34996

 

[kartoffelpü]

Genau das gleiche gab's doch heute schon mal: https://www.computerbase.de/forum/threads/bootproblem-seit-heute.2206566/

 

[K3ks]

tl;dr: Mach Secure Boot aus.

 

[SSD960]

Hat MS schon die Bootloader, im UEFI BIOS, ungültig gemacht bzw. entfernt? Das sollte doch Mitte des Jahres passieren. Siehe CT 24 Heft 9 (Startverbote unter Linux).

Es ist ja heute der zweite Beitrag...

 

[K3ks]

Hab den Beitrag gemeldet mit ner Bitte für Pin+Notiz. 🙏
E: Wurde abgelehnt. ^^ 🤷‍♂️

 

[SSD960]

Ich habe Zorin neben Win 11 installiert und alles geht noch. Mit secure Boot.

 

[SSD960]

Habe mal weiter gesucht. Immer mehr Meldungen das ein Windows Update ein Linux Booten verhindert.

Mögliche Lösung :

https://askubuntu.com/questions/152...mokutil-set-sbat-policy-delete-doesnt-seem-to

 

[AccountPasswort]

Danke für die ganzen Infos und Comments.

Secure Boot ausschalten.
Die Frage ist ob es sicher oder sicherer ist es anzu lassen?
Oder ob die Disc enrcyption ausreichend ist.
Es wird ja auch Windows davon betroffen sein und dais mir etwas unwohl.

Man könnte bis 8 Oktober warten und hoffen das kein "Black Lotus" auf meinem Windows System macht, was irgendwie pervers klingt. Linux sei von dieser Sache ja nicht betroffen aber SHIM sei so fehlerhaft dass man darauf RCE machen kann wo aber mein System verschlüsselt wäre.

Kann ich kein SHIM Update machen?
- https://github.com/fwupd/fwupd

Wenn es an bleiben sollte kann ich die SBAT löschen was automatisch die "previous" Version verwendet, so in der Beschreibung gelesen. Alternativ kann ich erstmal SBAT "previous" verwenden, was auf selbe rauskommt, scheinbar

Ausgabe mokutil list:

mokutil --list-sbat-revocations
sbat,1,2024010900
shim,4
grub,3
grub.debian,4⏎

Welche Möglichkeit gibt es noch ohne "sicherheitsaspekte" zu beeinflussen. Ich weiß natürlich auch nicht ob ich vorher "sicherer" war denn beides war ja schon "anfällig". Und windows an sich, ja ich weiß...

 

[Mickey Cohen]

der einzige Sinn und Zweck von secure boot ist genau das, was du gerade erlebst: es ist eine einfache möglichkeit für Microsoft, Linux möglichst unattraktiv zu machen. missbrauch einer marktbeherrschenden Stellung unter dem Deckmantel der Sicherheit.

die Frage, ob man secure Boot deaktivieren sollte, stellt sich damit nicht ernsthaft, jedenfalls solange es Probleme macht.

 

[SPB]

Exakt die Fehlermeldung in #1 habe ich seit dem KB5041580 für W10 vom 13.08. mit einem Ventoy-Bootstick (UEFI). Erst wenn ich Secure Boot ausschalte, kann ich wieder vom USB-Stick booten.
https://github.com/ventoy/Ventoy/issues/2947