Microsoft risolve i problemi di avvio di Linux in dual boot con Windows

Dopo mesi di segnalazioni da parte della comunità Linux e di analisi tecniche, Microsoft ha finalmente rilasciato un aggiornamento – come parte integrante del Patch Tuesday di maggio 2025 – che risolve un grave problema di compatibilità tra Windows e Linux nelle configurazioni dual boot con Secure Boot attivato. Il bug, introdotto con gli aggiornamenti di sicurezza di agosto 2024, impediva l’avvio dei sistemi Linux, in seguito all’introduzione di una nuova politica di revoca SBAT (Secure Boot Advanced Targeting) legata alla vulnerabilità CVE-2022-2601.

Vulnerabilità CVE-2022-2601 e implicazioni per il boot loader GRUB2

La vulnerabilità CVE-2022-2601, nota da tempo, facilita il superamento delle misure di sicurezza di Secure Boot attraverso GRUB2, uno dei bootloader più utilizzati nel mondo Linux.

Per risolvere il problema alla radice, Microsoft ha implementato un aggiornamento SBAT che inibisce l’avvio di shim UEFI firmati con certificati compromessi o non aggiornati.

Spieghiamo meglio. All’avvio del computer, prima ancora che il sistema operativo (Windows o Linux) inizi a caricarsi, c’è una fase iniziale chiamata boot, che serve per preparare l’avvio del sistema. In molti computer moderni, questa fase è controllata da una funzione chiamata Secure Boot, pensata per impedire l’avvio di software non autorizzato o potenzialmente dannoso.

Per farlo, Secure Boot si basa su un sistema di firme digitali: ogni componente coinvolto nell’avvio (come i programmi che caricano il sistema operativo) deve essere firmato digitalmente con un certificato valido e riconosciuto. Se qualcosa non ha la firma giusta, il computer lo blocca e non avvia nulla.

Cos’è lo shim?

Nel mondo Linux, per poter rendere compatibili con Secure Boot le varie distribuzioni e tanti strumenti che si caricano all’avvio, si utilizza un programma chiamato shim. È un piccolo componente che fa da “ponte” tra Secure Boot e il bootloader di Linux (di solito GRUB2). Lo shim ha una firma digitale approvata da Microsoft, in modo che Secure Boot dia il suo benestare. A sua volta, shim si occupa di caricare gli altri componenti Linux.

Cosa ha fatto Microsoft?

Nel 2024, Microsoft ha aggiornato la funzionalità chiamata SBAT: permette a Secure Boot di bloccare versioni specifiche di programmi di avvio (come shim) se sono vecchie o vulnerabili.

In pratica, è un modo per dire al computer: “non avviare questo file, anche se ha una firma valida, perché è insicuro”.

Con l’aggiornamento, Microsoft ha deciso di bloccare lo shim se questo era firmato con un certificato vecchio o compromesso (cioè potenzialmente insicuro o che potrebbe essere stato usato in modo malevolo).

In teoria, il sistema operativo Windows avrebbe dovuto rilevare automaticamente la presenza di configurazioni dual boot e astenersi dall’applicare questa revoca. Tuttavia, la logica ha fallito su molte configurazioni personalizzate, con conseguenze critiche.

Distribuzioni Linux coinvolte e natura del blocco

Come abbiamo raccontato, numerosi utenti hanno riscontrato che il dual boot Windows-Linux non funzionava più dopo le patch di agosto 2024. Coinvolte molteplici distribuzioni, tra cui Ubuntu, Zorin OS, Linux Mint e Puppy Linux, con un errore all’avvio che appariva più o meno così:

Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation

Il messaggio è prodotto dal meccanismo SBAT introdotto da UEFI per implementare policy di sicurezza granulari: il bootloader shim viene considerato non conforme e bloccato prima ancora dell’avvio del sistema operativo Linux.

La soluzione ufficiale Microsoft al problema SBAT in dual boot Windows-Linux arriva dopo nove mesi

I tecnici della società di Redmond hanno confermato il problema a stretto giro: già a fine agosto 2024, Microsoft spiegava come riparare il dual boot con Linux, fornendo soluzioni indicate come “temporanee” in attesa di una patch definitiva. Aggiornamento risolutivo che arriva, finalmente, dopo 9 mesi di attesa. Scrive Microsoft:

Il problema è stato risolto tramite gli aggiornamenti di Windows rilasciati il 13 maggio 2025 e successivi. Raccomandiamo di installare l’ultimo aggiornamento disponibile per ricevere questa e altre importanti correzioni.

Per risolvere definitivamente il problema, basta quindi installare gli aggiornamenti di maggio 2025 per tutti i sistemi affetti dalla problematica: Windows 10, Windows 11, Windows Server 2012 e successivi.

Nel frattempo, a partire da settembre 2024, Microsoft aveva sospeso l’installazione automatica dell’aggiornamento SBAT problematico e fornito agli utenti le indicazioni tecniche per rimuovere manualmente l’update e bloccarne la reinstallazione. Il metodo consisteva nel creare una chiave di registro per disattivare le future revoche SBAT:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\SBAT /v OptOut /d 1