Il 13 maggio 2025 Microsoft ha finalmente rilasciato una correzione definitiva a un problema che, da quasi 9 mesi, impediva l’avvio corretto delle distribuzioni GNU/Linux in configurazioni di dual boot con Windows 11. Questo aggiornamento fa parte del consueto Patch Tuesday di maggio 2025 ed è incluso nell’aggiornamento cumulativo KB5058405. La risoluzione di questo bug rappresenta un passo importante per gli utenti che utilizzano sistemi dual boot, garantendo una migliore convivenza tra i 2 sistemi operativi più diffusi nell’ambito desktop.
Origine del problema
Il malfunzionamento è stato introdotto con gli aggiornamenti di sicurezza di Windows 11 nell’agosto 2024, in particolare con il pacchetto KB5041585, e ha coinvolto molte distribuzioni GNU/Linux popolari come Ubuntu, Linux Mint, Zorin OS e Puppy Linux. Il problema si manifestava esclusivamente su sistemi con Secure Boot attivato, una funzionalità del firmware UEFI (Unified Extensible Firmware Interface) che verifica l’integrità del software di avvio per impedire l’esecuzione di codice non autorizzato o potenzialmente dannoso.
La causa principale è stata individuata nel sistema SBAT (Secure Boot Advanced Targeting), uno strumento che Microsoft ha introdotto per migliorare la sicurezza bloccando automaticamente i bootloader vulnerabili tramite il database DBX di Secure Boot. Questa misura era stata pensata per proteggere da exploit noti, come la vulnerabilità CVE-2022-2601 che interessava GRUB2, il bootloader più diffuso nelle distribuzioni GNU/Linux.
Tuttavia, l’algoritmo di SBAT non ha riconosciuto correttamente molte configurazioni dual boot personalizzate, applicando erroneamente la revoca anche a bootloader legittimi. Di conseguenza, all’avvio compariva il messaggio di errore:
Verifying shim SBAT data failed: Security Policy Violation
Something has gone seriously wrong: SBAT self-check failed: Security Policy ViolationVerifica dei dati SBAT dello shim fallita: Violazione dei criteri di sicurezza
Qualcosa è andato storto: autoverifica SBAT fallita: Violazione dei criteri di sicurezza
Questo impediva il caricamento del sistema GNU/Linux, bloccandone di fatto l’accesso nei sistemi dual boot.
Le soluzioni temporanee adottate
Subito dopo la scoperta del problema, Microsoft ha riconosciuto la criticità e ha collaborato con la comunità per fornire soluzioni temporanee. Tra queste, la più diffusa consisteva nella modifica manuale del Registro di sistema di Windows per disattivare la politica SBAT, impedendo così l’applicazione automatica delle revoche che bloccavano i sistemi con installato anche GNU/Linux.
Il comando da eseguire in ambiente Windows con privilegi di amministratore era:
textreg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecureBootSBAT /v OptOut /d 1 /t REG_DWORD
Questa procedura, seppur efficace, richiedeva competenze tecniche e l’accesso a Windows in modalità sicura, risultando quindi poco accessibile a molti utenti. Nel frattempo, Microsoft aveva anche sospeso la distribuzione automatica dell’aggiornamento problematico per evitare ulteriori disagi.
La patch definitiva di maggio 2025
Con l’aggiornamento cumulativo KB5058405, rilasciato il 13 maggio 2025, Microsoft ha finalmente introdotto una patch risolutiva che elimina il problema alla radice. La correzione:
- Rimuove le impostazioni SBAT errate applicate ai sistemi dual boot
- Impedisce che il problema si ripresenti con futuri aggiornamenti
- Migliora la compatibilità tra Secure Boot e i bootloader GNU/Linux firmati correttamente
- Introduce il nuovo sistema di hotpatching (applicazione di aggiornamenti senza riavvio), migliorando la gestione degli aggiornamenti di sicurezza
Microsoft raccomanda vivamente di installare questo aggiornamento per evitare ulteriori blocchi e garantire la stabilità del sistema.
Come aggiornare
Per risolvere definitivamente il problema, è sufficiente installare l’ultimo aggiornamento cumulativo di Windows 11 disponibile tramite Windows Update, che include la patch KB5058405. È consigliabile verificare che il sistema sia aggiornato per garantire la corretta gestione di Secure Boot e la compatibilità con le distribuzioni GNU/Linux.
In caso di problemi residui, è possibile consultare la documentazione ufficiale Microsoft e le community GNU/Linux per ulteriori indicazioni.
Questa importante correzione sottolinea l’importanza di una collaborazione sempre più stretta tra i mondi Windows e GNU/Linux, soprattutto in un’epoca in cui le configurazioni dual boot sono molto diffuse e rappresentano una soluzione pratica per molti utenti.
Source: Read More
