Hjemmeside » hvordan » Hvorfor PC-en din UEFI-firmware trenger sikkerhetsoppdateringer

    Hvorfor PC-en din UEFI-firmware trenger sikkerhetsoppdateringer

    Microsoft kunngjorde kun Project Mu, lovende "fastvare som en tjeneste" på støttet maskinvare. Hver PC-produsent bør ta notat. PCer trenger sikkerhetsoppdateringer til deres UEFI-firmware, og PC-produsenter har gjort en dårlig jobb med å levere dem.

    Hva er UEFI Firmware?

    Moderne PCer bruker UEFI-firmware i stedet for en tradisjonell BIOS. UEFI-programvaren er programvaren på lavt nivå som starter når du starter datamaskinen. Den tester og initialiserer maskinvaren din, gjør noen systemkonfigurasjoner på lavt nivå, og starter deretter et operativsystem fra datamaskinens interne stasjon eller en annen oppstartsenhet.

    UEFI er imidlertid litt mer komplisert enn den eldre BIOS-programvaren. For eksempel har datamaskiner med Intel-prosessorer noe som kalles Intel Management Engine, som egentlig er et lite operativsystem. Den går parallelt med Windows, Linux, eller hvilket operativsystem du kjører på datamaskinen din. På bedriftsnettverk kan systemadministratorer bruke funksjoner i Intel ME for å styre datamaskinene sine eksternt.

    UEFI inneholder også prosessor "mikrokode", som er snill som firmware for prosessoren din. Når datamaskinen starter, laster den mikrokoden fra UEFI-fastvaren. Tenk på det som en tolk som oversetter programvareinstruksjoner til maskinvareinstruksjoner utført på CPU.

    Hvorfor UEFI-firmware trenger sikkerhetsoppdateringer

    De siste årene har vist igjen og igjen hvorfor UEFI-firmware trenger oppdaterte sikkerhetsoppdateringer.

    Vi lærte alle om Specter i 2018, og viser de alvorlige arkitektoniske problemene med moderne CPUer. Problemer med noe som kalles "spekulativ utførelse" mente at programmer kunne unnslippe standard sikkerhetsrestriksjoner og lese sikre minnesområder. Fikser til Specter kreves CPU-mikrokod oppdateringer for å fungere riktig. Det betyr at PC-produsenter måtte oppdatere alle sine bærbare og stasjonære PCer, og hovedkortprodusenter måtte oppdatere alle hovedkortene deres - med ny UEFI-firmware som inneholder den oppdaterte mikrokoden. PCen din er ikke tilstrekkelig beskyttet mot Specter, med mindre du har installert en UEFI-firmwareoppdatering. AMD lanserte også mikrokod oppdateringer for å beskytte systemer med AMD prosessorer fra Specter-angrep, så dette er ikke bare en Intel-ting.

    Intels styringsmotor har sett noen sikkerhetsproblemer som enten kunne la angripere med lokal tilgang til datamaskinen spre Management Engine-programvaren, eller la en angriper med ekstern tilgang forårsake problemer. Heldigvis påvirket fjernoperatørene bare virksomheter som hadde aktivert Intel Active Management Technology (AMT), slik at gjennomsnittlige forbrukere ikke ble påvirket.

    Dette er bare noen få eksempler. Forskere har også vist at det er mulig å misbruke UEFI-firmware på enkelte PCer, ved å bruke den for å få dyp tilgang til systemet. De har selv demonstrert vedvarende ransomware som fikk tilgang til en datamaskin UEFI-firmware og løp derfra.

    Næringen bør oppdatere hver datamaskinens UEFI-firmware, akkurat som hvilken som helst annen programvare for å beskytte mot disse problemene og lignende feil i fremtiden..

    Hvordan oppdateringsprosessen har blitt brutt i år

    BIOS-oppdateringsprosessen har vært et rot for alltid - siden lenge før UEFI. Tradisjonelt kan datamaskiner som sendes med den gamle skolens BIOS, og mindre gå galt. PC-produsenter kan sende noen få BIOS-oppdateringer for å fikse mindre problemer, men de vanlige rådene var å unngå å installere dem hvis PCen fungerte riktig. Du måtte ofte starte opp fra en oppstartbar DOS-stasjon for å blinke BIOS-oppdateringen, og alle hørte historier om BIOS-oppdateringer som feiler og bricking PCer, noe som gjør dem ubootable.

    Ting har forandret seg. UEFI-firmware gjør mye mer, og Intel har gitt ut flere store oppdateringer til ting som CPU-mikrokoden og Intel ME de siste årene. Når Intel utgiver en slik oppdatering, kan alle Intel si: «spør datamaskinprodusenten din.» Datamaskinprodusenten eller hovedkortprodusenten, hvis du har bygget din egen PC, må ta koden fra Intel og integrere den i en ny UEFI-firmware versjon. De må da teste fastvaren. Å, og hver produsent må gjenta denne prosessen for hver enkelt PC de selger, da de alle har forskjellige UEFI-firmware. Det er den typen manuelle arbeid som gjorde Android-telefoner så vanskelige å oppdatere tidligere.

    I praksis betyr det at det ofte tar lang tid - mange måneder - for å få kritiske sikkerhetsoppdateringer som må leveres via UEFI. Det betyr at produsenter kan skrape og nekte å oppdatere PCer som er bare noen få år gammel. Og selv når produsenter slipper oppdateringer, blir disse oppdateringene ofte begravet på den produsentens supportwebside. De fleste PC-brukere vil aldri finne ut hvilke UEFI-firmwareoppdateringer som finnes, og installere dem, slik at disse feilene i lang tid lever opp i eksisterende PCer. Og noen produsenter gjør at du installerer fastvareoppdateringer ved å starte opp i DOS først, bare for å gjøre det ekstra komplisert.

    Hva folk gjør om det

    Det er et rot. Vi trenger en strømlinjeformet prosess der produsenter lettere kan opprette nye UEFI-firmwareoppdateringer. Vi trenger også en bedre prosess for å frigjøre disse oppdateringene, slik at brukerne kan få dem automatisk installert på sine PCer. Akkurat nå er prosessen langsom og manuell - den skal være rask og automatisk.

    Det er det Microsoft prøver å gjøre med Project Mu. Slik beskriver den offisielle dokumentasjonen:

    Mu bygger på ideen om at frakt og vedlikehold av et UEFI-produkt er et løpende samarbeid mellom mange partnere. For lenge har industrien bygget produkter med en "forking" -modell kombinert med kopi / lim / omdøpe, og med hvert nytt produkt vokser vedlikeholdsbelastningen til et slikt nivå at oppdateringer er nær umulige på grunn av kostnad og risiko.

    Prosjekt Mu handler om å hjelpe PC-produsenter til å opprette og teste UEFI-oppdateringer raskere ved å effektivisere UEFI-utviklingsprosessen og hjelpe alle sammen å jobbe sammen. Forhåpentligvis er dette det manglende stykket, da Microsoft allerede har gjort det enklere for PC-produsenter å sende sine UEFI-firmwareoppdateringer til brukere automatisk..

    Spesielt lar Microsoft PC-produsenter utgjøre fastvareoppdateringer gjennom Windows Update og har gitt dokumentasjon på dette siden minst 2017. Microsoft har også kunngjort Component Firmware Update; en åpen kildekode modell som produsenter kan bruke til å oppdatere UEFI og annen fastvare, tilbake i oktober 2018. Hvis PC-produsenter kommer ombord med dette, kan de levere firmwareoppdateringer til alle brukerne veldig raskt.

    Dette er ikke bare en Windows ting, heller. Over på Linux prøver utviklere å gjøre det enklere for PC-produsenter å utgjøre UEFI-oppdateringer med LVFS, Linux Vendor Firmware Service. PC-leverandører kan sende inn oppdateringer, og de vises for nedlasting i GNOME-programvaren, som brukes på Ubuntu og mange andre Linux-distribusjoner. Denne innsatsen går tilbake til 2015. PC-produsenter som Dell og Lenovo deltar.

    Disse løsningene for Windows og Linux påvirker mer enn bare UEFI-oppdateringer. Maskinvareprodusenter kan bruke dem til å oppdatere alt fra USB-musens fastvare til solid state-stasjonens fastvare i fremtiden.

    Som SwiftOnSecurity sier når du snakker om problemene med solid state-stasjonens fastvare og kryptering, kan firmwareoppdateringer være pålitelige. Vi må forvente bedre fra maskinvareprodusenter.

    Firmware oppdateringer kan være pålitelige. Jeg har startet minst 3000 Dell BIOS-oppdateringer med bare en feil, og den gamle PC-en var allerede i drift for å mislykkes.

    Tenk på hva du synes er umulig. Firmware service er ikke umulig eller risikabelt. Det krever at folk krever bedre.

    - SwiftOnSecurity (@SwiftOnSecurity) 6. november 2018

    Image Credit: Intel, Natascha Eibl, Kubais / Shutterstock.com.