A Microsoft most jelentette be Projekt Mu , „firmware-t mint szolgáltatást” ígér a támogatott hardvereken. Minden PC-gyártó vegye figyelembe. A PC-knek biztonsági frissítésekre van szükségük az UEFI firmware-en, a PC-gyártók pedig rosszul végezték a szállításukat.
Mi az UEFI firmware?
A modern PC-k használják UEFI firmware hagyományos helyett BIOS . Az UEFI firmware az alacsony szintű szoftver, amely a számítógép indításakor indul. Teszteli és inicializálja a hardvert, elvégez néhány alacsony szintű rendszerkonfigurációt, majd elindítja az operációs rendszert a számítógép belső meghajtójáról vagy egy másikról boot eszköz .
Az UEFI azonban egy kicsit bonyolultabb, mint a régebbi BIOS szoftver. Például az Intel processzorral rendelkező számítógépeken van valami, amit úgy hívnak Intel Management Engine , ami alapvetően egy apró operációs rendszer. Párhuzamosan fut a Windows, Linux vagy bármely más operációs rendszerrel, amelyet a számítógépen futtat. A vállalati hálózatokon a rendszergazdák az Intel ME szolgáltatásait használhatják számítógépeik távoli kezelésére.
Az UEFI processzort is tartalmaz mikrokód ", Ami a processzor firmware-hez hasonló. Amikor a számítógép elindul, mikrokódot tölt be az UEFI firmware-ről. Úgy gondoljon rá, mint egy tolmácsra, amely a szoftveres utasításokat a CPU-n végrehajtott hardveres utasításokká fordítja le.
ÖSSZEFÜGGŐ: Mi az UEFI, és miben különbözik a BIOS-tól?
Miért van szükség az UEFI firmware-re biztonsági frissítésekre?
Az elmúlt évek újra és újra megmutatták, miért van szüksége az UEFI firmware-nek időszerű biztonsági frissítésekre.
Mindannyian megtudtuk Spektrum 2018-ban, bemutatva a modern CPU-k súlyos építészeti problémáit. Az úgynevezett „spekulatív végrehajtás” problémái azt jelentették, hogy a programok elkerülhetik a szokásos biztonsági korlátozásokat, és elolvashatják a memória biztonságos területeit. Javítások a Spectre-hez szükséges CPU mikrokód frissítések hogy megfelelően működjön. Ez azt jelenti, hogy a PC-gyártóknak frissíteniük kellett az összes laptopot és asztali PC-t - és az alaplapgyártóknak az összes alaplapjukat - egy új UEFI firmware-rel, amely a friss mikrokódot tartalmazta. A számítógép nincs megfelelően védve a Spectre ellen, kivéve, ha telepített egy UEFI firmware-frissítést. AMD mikrokódfrissítéseket is kiadott, hogy megvédje az AMD processzorokkal ellátott rendszereket a Spectre támadásoktól, tehát ez nem csak egy Intel dolga.
Az Intel Management Engine látott néhányat biztonsági hibák Ez vagy megengedheti, hogy a számítógéphez helyi hozzáféréssel rendelkező támadók feltörjék a Management Engine szoftvert, vagy a távoli hozzáféréssel rendelkező támadók okozhassanak problémákat. Szerencsére a távoli csak azokat a vállalkozásokat használja ki, akik engedélyezték az Intel Active Management Technology (AMT) használatát, így az átlagfogyasztókat ez nem érintette.
Ez csak néhány példa. A kutatók azt is bebizonyították, hogy egyes PC-ken vissza lehet élni az UEFI firmware-vel, és ezzel mély hozzáférést biztosítanak a rendszerhez. Még demonstráltak is tartós ransomware amely hozzáférést kapott egy számítógép UEFI firmware-jéhez, és onnan futott.
Az iparágnak minden számítógép UEFI firmware-jét frissítenie kell, csakúgy, mint bármely más szoftvert, hogy a jövőben megvédje ezeket a problémákat és hasonló hibákat.
ÖSSZEFÜGGŐ: Hogyan ellenőrizhető, hogy számítógépe vagy telefonja védett-e az összeomlás és a látvány ellen?
Hogyan törte meg a frissítési folyamat évek óta
A BIOS frissítési folyamata örökké rendetlenség volt - már jóval az UEFI előtt. Hagyományosan a számítógépeket azzal a régi iskolai BIOS-szal szállították, és kevesebbel is baj lehet. Lehet, hogy a PC-gyártók szállítanak néhányat BIOS frissítések kisebb problémák megoldására, de a szokásos tanács az volt kerülje a telepítést ha a számítógép megfelelően működött. Gyakran indító DOS-meghajtóról kellett indítania a BIOS-frissítés villogtatásához, és mindenki hallotta a BIOS-frissítések sikertelenségéről szóló történeteket és a számítógépek tégláját, ami indíthatatlanná tette őket.
A dolgok megváltoztak. Az UEFI firmware sokkal többet tesz, és az Intel az elmúlt években számos nagy frissítést tett közzé, például a CPU mikrokódját és az Intel ME-t. Amikor az Intel kiad egy ilyen frissítést, az Intel csak annyit tehet, hogy azt mondja: „kérdezze meg a számítógép gyártóját”. A számítógépgyártónak - vagy az alaplapgyártónak, ha saját számítógépet épített - el kell vennie az Intel kódját, és integrálnia kell egy új UEFI firmware verzióba. Ezután tesztelniük kell a firmware-t. Ja, és minden gyártónak meg kell ismételnie ezt a folyamatot minden eladott PC-nél, mivel mindegyikük más-más UEFI firmware-rel rendelkezik. Ez a fajta kézi munka tette Android telefonok olyan nehéz frissíteni a múltban.
A gyakorlatban ez azt jelenti, hogy gyakran hosszú időbe - sok hónapba - beletelik az UEFI-n keresztül eljuttatandó kritikus biztonsági frissítések beszerzése. Ez azt jelenti, hogy a gyártók vállat vonhatnak, és megtagadják az alig néhány éves PC-k frissítését. És még akkor is, ha a gyártók kiadják a frissítéseket, ezeket a frissítéseket gyakran a gyártó támogatási webhelyén temetik el. A legtöbb PC-felhasználó soha nem fogja felfedezni, hogy léteznek-e és telepítik-e az UEFI firmware-frissítéseit, ezért ezek a hibák sokáig a meglévő PC-ken élnek. És egyes gyártók továbbra is a firmware frissítéseket telepítik indítás a DOS-ba először is - csak azért, hogy extra bonyolult legyen.
Mit csinálnak az emberek
Ez rendetlenség. Korszerűsített folyamatra van szükségünk, ahol a gyártók könnyebben létrehozhatnak új UEFI firmware-frissítéseket. Jobb folyamatra van szükségünk a frissítések kiadásához, hogy a felhasználók automatikusan telepíthessék őket a számítógépükre. Jelenleg a folyamat lassú és kézi - gyorsnak és automatikusnak kell lennie.
Erre törekszik a Microsoft a Project Mu-val. Itt van, hogyan hivatalos dokumentáció elmagyarázza:
A Mu azon az ötleten alapszik, hogy az UEFI termék szállítása és karbantartása folyamatos együttműködés számos partner között. Az iparág túl sokáig gyártott termékeket egy „villás” modell alkalmazásával, másolással / beillesztéssel / átnevezéssel kombinálva, és minden új termékkel a karbantartási teher olyan szintre nő, hogy a frissítések költség és kockázat miatt szinte lehetetlenek.
A Project Mu célja az, hogy segítsen a PC-gyártóknak az UEFI-frissítések gyorsabb létrehozásában és tesztelésében, az UEFI-fejlesztési folyamat egyszerűsítésével és mindenki együttműködésének elősegítésével. Remélhetőleg ez a hiányzó darab, mivel a Microsoft már megkönnyítette a PC-gyártók számára, hogy automatikusan elküldjék az UEFI firmware-frissítéseiket a felhasználóknak.
Pontosabban, a Microsoft lehetővé teszi a PC-gyártók számára firmware frissítéseket ad ki a Windows Update-en keresztül, és erről legalább 2017 óta dokumentációt nyújtott be. A Microsoft is bejelentette Komponens firmware-frissítés ; egy nyílt forráskódú modell, amelyet a gyártók 2018 októberében használhatnak az UEFI és más firmware frissítésére. Ha ezzel a PC-gyártók is beszállnak, nagyon gyorsan el tudják juttatni a firmware-frissítéseket minden felhasználójukhoz.
Ez sem csak Windows dolog. A Linux alatt a fejlesztők megpróbálják megkönnyíteni a PC-gyártók számára az UEFI frissítések kiadását LVFS , a Linux Vendor firmware szolgáltatás. A PC-gyártók elküldhetik frissítéseiket, és letöltésre megjelennek a GNOME szoftver alkalmazásban, amelyet Ubuntu és sok más Linux disztribúció használ. Ez az erőfeszítés 2015-ig nyúlik vissza. A PC-gyártók kedvelik Dell és Lenovo részt vesznek.
Ezek a Windows és Linux megoldások nemcsak az UEFI frissítéseket érintik. A hardvergyártók felhasználhatják őket a jövőben az USB egér firmware-től a solid-state meghajtó firmware-jének frissítéséig.
Mint SwiftOnSecurity fogalmazzon, amikor a problémák a szilárdtestalapú meghajtó firmware-jével és titkosításával , a firmware frissítései megbízhatóak lehetnek. Jobbra kell számítanunk a hardvergyártóktól.
A firmware frissítések megbízhatóak lehetnek. Legalább 3000 Dell BIOS-frissítést indítottam el, egyetlen hibával, és az a régi számítógép már hibás működésben volt.
Gondolja át, amit lehetetlennek tart. A firmware szervizelése nem lehetetlen vagy kockázatos. Megköveteli, hogy az emberek jobban követeljenek.
- SwiftOnSecurity (@SwiftOnSecurity) 2018. november 6
Kép jóváírása: Intel , Natascha Eibl , kubais /Shutterstock.com.
