Dopo lunghi nove mesi di disagi, Microsoft ha finalmente risolto SBAT, un bug che comprometteva l’avvio di Linux su sistemi dual boot con Windows 11. Il problema, iniziato in seguito all’aggiornamento di sicurezza di agosto 2024 (KB5041585), ha avuto un impatto diretto sulle distribuzioni GNU/Linux più diffuse; tra queste Ubuntu, Linux Mint, Zorin OS e molte altre.
Il difetto si manifestava solo nei sistemi con Secure Boot attivo, e impediva l’avvio corretto di Linux. Il messaggio di errore segnalava una violazione delle policy di sicurezza SBAT. Con l’aggiornamento di maggio 2025 (KB5058405), Microsoft ha annunciato di aver risolto definitivamente l’anomalia. Una correzione tecnica che sottolinea anche l’importanza di una coesistenza stabile tra i due sistemi operativi più usati in ambito desktop.
SBAT e Secure Boot
La radice origine del malfunzionamento è stata identificata nella componente SBAT (Secure Boot Advanced Targeting). Si tratta di uno strumento che impedisce l’avvio di bootloader UEFI vulnerabili, bloccandoli tramite il database DBX di Secure Boot. Microsoft ha introdotto questa misura per proteggere i sistemi da exploit noti, come quello relativo al CVE-2022-2601, che sfruttava falle in GRUB2.
Tuttavia, la logica di rilevamento automatica del dual boot non ha funzionato correttamente in molti casi. Nonostante l’intento fosse quello di escludere i sistemi dual boot dal controllo SBAT, l’algoritmo di rilevamento ha mancato diverse configurazioni personalizzate; quindi, applicava comunque la restrizione e bloccava l’avvio di Linux. Il messaggio “Verifying shim SBAT data failed: Security Policy Violation” è diventato familiare a chi aveva aggiornato il proprio sistema con Secure Boot attivo.
Le soluzioni temporanee di Microsoft
In attesa della correzione definitiva, Microsoft ha pubblicato soluzioni temporanee che prevedevano modifiche avanzate al Registro di sistema e alle Group Policy. Tuttavia, queste istruzioni risultano complesse; richiedono l’accesso a Windows in modalità sicura e l’intervento su chiavi critiche del sistema operativo.
Nel frattempo, le community Linux online hanno assistito a decine di utenti con workaround personalizzati. Per esempio, la rimozione manuale delle voci SBAT dalla configurazione di boot o l’uso di shim firmati non bloccati. Tuttavia, il problema di fondo rimane nel comportamento di Windows e non nel software GNU/Linux.
La soluzione e l’importanza dell’aggiornamento di maggio 2025
Con l’aggiornamento del 13 maggio 2025, Microsoft ha distribuito una patch risolutiva; è integrata nell’aggiornamento cumulativo KB5058405 per Windows 11. Questo aggiornamento è anche il primo a includere il nuovo sistema di hotpatching introdotto da Microsoft. La patch rimuove le impostazioni SBAT erroneamente applicate ai sistemi dual boot; inoltre, impedisce che il problema si ripresenti.
Redmond consiglia vivamente di installare l’update per evitare blocchi futuri e garantire la stabilità del boot. Questa soluzione elimina l’errore e semplifica anche l’interazione tra Secure Boot e le distribuzioni Linux che usano shim firmati correttamente.
Bug SBAT di Microsoft: conclusioni
La vicenda del bug SBAT dimostra come gli aggiornamenti di sicurezza possano avere effetti collaterali critici quando non sono testati su configurazioni reali e variegate. L’aggiornamento di maggio 2025 chiude un capitolo complesso; la speranza è che in futuro simili incidenti vengano gestiti con maggiore tempestività e trasparenza.
