Hvorfor din pc's UEFI firmware kræver sikkerhedsopdateringer
Microsoft annoncerede netop Project Mu, lovende "firmware som en tjeneste" på understøttet hardware. Hver pc-producent skal notere sig. PC'er har brug for sikkerhedsopdateringer til deres UEFI-firmware, og pc-producenter har gjort et dårligt job med at levere dem.
Hvad er UEFI Firmware?
Moderne pc'er bruger UEFI-firmware i stedet for en traditionel BIOS. UEFI-firmwaren er den lavtliggende software, der starter, når du starter din pc. Det tester og initialiserer din hardware, gør noget systemkonfiguration på lavt niveau og starter derefter et operativsystem fra computerens interne drev eller en anden boot-enhed.
UEFI er dog lidt mere kompliceret end den ældre BIOS-software. For eksempel har computere med Intel-processorer noget, der hedder Intel Management Engine, som stort set er et lille operativsystem. Den kører parallelt med Windows, Linux, eller hvilket operativsystem du kører på din computer. På virksomhedens netværk kan systemadministratorer bruge funktioner i Intel ME til fjernstyring af deres computere.
UEFI indeholder også processor "microcode", som er lidt lignende firmware til din processor. Når din computer starter, laster den mikrokoden fra UEFI-firmwaren. Tænk på det som en tolk, der oversætter softwareinstruktioner til hardwareinstruktioner udført på CPU'en.
Hvorfor UEFI Firmware har brug for sikkerhedsopdateringer
De sidste par år har vist igen og igen, hvorfor UEFI-firmware har brug for rettidige sikkerhedsopdateringer.
Vi lærte alle om Specter i 2018 og viste de alvorlige arkitektoniske problemer med moderne CPU'er. Problemer med noget, der hedder "spekulativ udførelse" betød, at programmer kunne undslippe standard sikkerhedsrestriktioner og læse sikre hukommelsesområder. Fixes to Specter krævede CPU-mikrokod opdateringer for at fungere korrekt. Det betyder, at pc-producenterne måtte opdatere alle deres bærbare pc'er og stationære pc'er - og bundkortproducenter måtte opdatere alle deres bundkort - med nye UEFI-firmware indeholdende den opdaterede mikrokode. Din pc er ikke tilstrækkeligt beskyttet mod Specter, medmindre du har installeret en UEFI-firmwareopdatering. AMD lancerede også mikrokod opdateringer for at beskytte systemer med AMD processorer fra Specter-angreb, så dette er ikke bare en Intel ting.
Intels ledelsesmotor har set nogle sikkerhedsfejl, som enten kunne lade angriberne med lokal adgang til computeren revne Management Engine-softwaren, eller lade en angriber med fjernadgang forårsage problemer. Heldigvis påvirket fjernoperatørerne kun virksomheder, der havde aktiveret Intel Active Management Technology (AMT), så de gennemsnitlige forbrugere ikke blev påvirket.
Disse er blot nogle få eksempler. Forskere har også vist, at det er muligt at misbruge UEFI-firmware på nogle pc'er ved at bruge den til at få dyb adgang til systemet. De har endda vist vedvarende ransomware, der fik adgang til en computers UEFI-firmware og løb derfra.
Industrien bør opdatere hver computers UEFI-firmware ligesom enhver anden software til beskyttelse mod disse problemer og lignende fejl i fremtiden.
Hvordan opdateringsprocessen har været brudt i år
BIOS opdateringsprocessen har været et rod for evigt - siden længe før UEFI. Traditionelt kan computere afsendt med den gamle skole BIOS, og mindre kunne gå galt. PC-producenter kan sende nogle få BIOS-opdateringer til at løse mindre problemer, men de sædvanlige råd var at undgå at installere dem, hvis din pc fungerede korrekt. Du blev ofte nødt til at starte fra et bootbart DOS-drev til at blinke BIOS-opdateringen, og alle hørte historier om BIOS-opdateringer fejler og murede pc'er, hvilket gør dem ubootable.
Ting er ændret. UEFI-firmware gør meget mere, og Intel har udgivet flere store opdateringer til ting som CPU-mikrokoden og Intel ME i de seneste par år. Når Intel udgiver en sådan opdatering, kan alle Intel sige: "Spørg din computerproducent." Din computerproducent eller bundkortproducent, hvis du har bygget din egen pc, skal tage koden fra Intel og integrere den i en ny UEFI-firmware version. De skal derefter teste firmwaren. Åh, og hver producent skal gentage denne proces for hver enkelt pc, de sælger, da de alle har forskellige UEFI-firmware. Det er den slags manuelt arbejde, der gjorde Android-telefoner så vanskelige at opdatere tidligere.
I praksis betyder det, at det ofte tager lang tid - mange måneder - at få kritiske sikkerhedsopdateringer, der skal leveres via UEFI. Det betyder, at producenterne måske rykker op og nægter at opdatere pc'er, der kun er nogle få år gammel. Og selvom producenterne frigiver opdateringer, bliver disse opdateringer ofte begravet på den pågældende producents supportwebsted. De fleste pc-brugere vil aldrig opdage, at der findes UEFI-firmwareopdateringer, og installer dem, så disse fejl slutter at leve på eksisterende pc'er i lang tid. Og nogle producenter gør dig stadig i stand til at installere firmwareopdateringer ved at starte i DOS først, for at gøre det ekstra kompliceret.
Hvad folk gør om det
Det er et rod. Vi har brug for en strømlinet proces, hvor producenterne lettere kan oprette nye UEFI-firmwareopdateringer. Vi har også brug for en bedre proces til at frigive disse opdateringer, så brugerne kan få dem automatisk installeret på deres pc'er. Lige nu er processen langsom og manuel - den skal være hurtig og automatisk.
Det er det, Microsoft forsøger at gøre med Project Mu. Sådan beskrives den officielle dokumentation:
Mu er bygget op om tanken om, at fragt og vedligeholdelse af et UEFI-produkt er et løbende samarbejde mellem mange partnere. For længe har industrien bygget produkter ved hjælp af en "forking" -model kombineret med kopi / pasta / omdøb og med hvert nyt produkt vokser vedligeholdelsesbelastningen til et sådant niveau, at opdateringer er næsten umulige på grund af omkostning og risiko.
Projekt Mu handler om at hjælpe pc-producenter til at oprette og afprøve UEFI-opdateringer hurtigere ved at strømline UEFI-udviklingsprocessen og hjælpe alle sammen sammen. Forhåbentlig er dette det manglende stykke, da Microsoft allerede har gjort det nemmere for pc-producenterne at sende deres UEFI-firmware opdateringer til brugere automatisk.
Microsoft tillader specielt, at pc-producenter udsender firmwareopdateringer via Windows Update og har fremlagt dokumentation herom siden mindst 2017. Microsoft meddelte også Component Firmware Update; en open source-model, som producenterne kan bruge til at opdatere UEFI og anden firmware, tilbage i oktober 2018. Hvis pc-producenterne kommer om bord med dette, kunne de levere firmwareopdateringer til alle deres brugere meget hurtigt.
Dette er ikke kun en Windows-ting. Over på Linux forsøger udviklere at gøre det nemmere for pc-producenter at udstede UEFI-opdateringer med LVFS, Linux Vendor Firmware Service. PC-leverandører kan indsende deres opdateringer, og de vises til download i GNOME Software-programmet, som bruges på Ubuntu og mange andre Linux-distributioner. Denne indsats går tilbage til 2015. PC-producenter som Dell og Lenovo deltager.
Disse løsninger til Windows og Linux påvirker mere end blot UEFI-opdateringer. Hardwareproducenter kan bruge dem til at opdatere alt fra USB-musets firmware til solid state-firmware i fremtiden.
Som SwiftOnSecurity sætter det i forbindelse med problemerne med solid state-drev firmware og kryptering, kan firmwareopdateringer være pålidelige. Vi skal forvente bedre fra hardwareproducenter.
Firmware opdateringer kan være pålidelige. Jeg har indledt mindst 3.000 Dell BIOS-opdateringer med kun en fejl, og den gamle pc var allerede i drift for at fejle.
Tænk på, hvad du synes er umuligt. Firmware service er ikke umuligt eller risikabelt. Det kræver, at folk efterspørger bedre.
- SwiftOnSecurity (@SwiftOnSecurity) 6. november 2018
Billedkredit: Intel, Natascha Eibl, Kubais / Shutterstock.com.