マイクロソフトが発表したばかり プロジェクトムー 、サポートされているハードウェアでの「サービスとしてのファームウェア」を約束します。すべてのPCメーカーは注意する必要があります。 PCはUEFIファームウェアのセキュリティ更新を必要としており、PCメーカーはそれらを提供するという不十分な仕事をしています。
UEFIファームウェアとは何ですか?
最近のPCは UEFIファームウェア 従来の代わりに BIOS 。 UEFIファームウェアは、PCの起動時に起動する低レベルのソフトウェアです。ハードウェアをテストして初期化し、低レベルのシステム構成を行ってから、コンピューターの内蔵ドライブまたは別のドライブからオペレーティングシステムを起動します。 起動デバイス 。
ただし、UEFIは古いBIOSソフトウェアよりも少し複雑です。たとえば、Intelプロセッサを搭載したコンピュータには、 インテルマネジメントエンジン 、これは基本的に小さなオペレーティングシステムです。これは、Windows、Linux、またはコンピューターで実行しているオペレーティングシステムと並行して実行されます。企業ネットワークでは、システム管理者はIntel MEの機能を使用して、コンピューターをリモートで管理できます。
UEFIにはプロセッサ「 マイクロコード 、」これは、プロセッサのファームウェアのようなものです。コンピューターが起動すると、UEFIファームウェアからマイクロコードが読み込まれます。ソフトウェア命令をCPUで実行されるハードウェア命令に変換するインタプリタのように考えてください。
関連: UEFIとは何ですか?BIOSとはどのように異なりますか?
UEFIファームウェアにセキュリティアップデートが必要な理由
過去数年間、UEFIファームウェアがタイムリーなセキュリティアップデートを必要とする理由を何度も示してきました。
私たちは皆について学びました スペクトラム 2018年には、最新のCPUの深刻なアーキテクチャ上の問題が示されています。 「投機的実行」と呼ばれる問題は、プログラムが標準のセキュリティ制限を回避し、メモリの安全な領域を読み取る可能性があることを意味しました。スペクターの修正 必要なCPUマイクロコードの更新 正しく機能するために。つまり、PCメーカーはすべてのラップトップPCとデスクトップPCを更新する必要があり、マザーボードメーカーはすべてのマザーボードを更新されたマイクロコードを含む新しいUEFIファームウェアで更新する必要がありました。 UEFIファームウェアアップデートをインストールしない限り、PCはSpectreから適切に保護されていません。 AMD また、AMDプロセッサを搭載したシステムをSpectre攻撃から保護するためのマイクロコードの更新もリリースされたため、これはIntelだけのものではありません。
インテルの管理エンジンはいくつか見ています セキュリティバグ これにより、コンピュータへのローカルアクセス権を持つ攻撃者がManagement Engineソフトウェアをクラックしたり、リモートアクセス権を持つ攻撃者が問題を引き起こしたりする可能性があります。幸い、リモートエクスプロイトはIntel Active Management Technology(AMT)を有効にした企業にのみ影響を及ぼしたため、平均的な消費者は影響を受けませんでした。
これらはほんの一例です。研究者はまた、一部のPCでUEFIファームウェアを悪用して、システムへのディープアクセスを取得する可能性があることを示しました。彼らも実証しました 永続的なランサムウェア コンピューターのUEFIファームウェアにアクセスし、そこから実行しました。
業界は、将来これらの問題や同様の欠陥から保護するために、他のソフトウェアと同じようにすべてのコンピューターのUEFIファームウェアを更新する必要があります。
関連: PCまたは電話がメルトダウンおよびスペクターから保護されているかどうかを確認する方法
更新プロセスが何年にもわたってどのように中断されてきたか
BIOSの更新プロセスは、UEFIのずっと前から、永遠に混乱してきました。従来、コンピュータにはその旧式のBIOSが付属しており、問題が発生する可能性はほとんどありませんでした。 PCメーカーはいくつか出荷するかもしれません BIOSアップデート マイナーな問題を修正するために、しかし通常のアドバイスは それらをインストールしないでください PCが正常に動作していたかどうか。多くの場合、BIOSアップデートをフラッシュするために起動可能なDOSドライブから起動する必要があり、BIOSアップデートが失敗してPCがブリックし、起動できなくなるという話を誰もが耳にしました。
世の中変わったんだよ。 UEFIファームウェアはさらに多くのことを実行し、Intelは過去数年間にCPUマイクロコードやIntelMEなどにいくつかの大きな更新をリリースしました。インテルがそのようなアップデートをリリースするときはいつでも、インテルができることは「コンピューターの製造元に尋ねる」と言うことだけです。コンピューターの製造元(または、独自のPCを作成した場合はマザーボードの製造元)は、Intelからコードを取得し、それを新しいUEFIファームウェアバージョンに統合する必要があります。次に、ファームウェアをテストする必要があります。ああ、そして各メーカーは、販売する個々のPCごとにこのプロセスを繰り返す必要があります。これは、すべてのメーカーが異なるUEFIファームウェアを使用しているためです。それは一種の手作業でした Android携帯 過去に更新するのはとても難しいです。
実際には、これは、UEFI経由で配信する必要のある重要なセキュリティ更新プログラムを取得するのに長い時間(数か月)かかることが多いことを意味します。これは、メーカーが肩をすくめて、ほんの数年前のPCの更新を拒否する可能性があることを意味します。また、メーカーがアップデートをリリースした場合でも、それらのアップデートは多くの場合、そのメーカーのサポートWebサイトに埋め込まれています。ほとんどのPCユーザーは、これらのUEFIファームウェアアップデートが存在することを発見してインストールすることはないため、これらのバグは既存のPCに長期間存在することになります。そして、いくつかのメーカーはまだあなたにファームウェアアップデートをインストールさせます DOSで起動する まず、それをさらに複雑にするためです。
人々はそれについて何をしているのか
それは混乱です。メーカーが新しいUEFIファームウェアアップデートをより簡単に作成できる合理化されたプロセスが必要です。また、ユーザーがPCに自動的にインストールできるように、これらの更新をリリースするためのより良いプロセスが必要です。現在、プロセスは低速で手動です。高速で自動化されている必要があります。
それが、MicrosoftがProjectMuでやろうとしていることです。これがその方法です 公式ドキュメント それを説明します:
Muは、UEFI製品の出荷と保守は、多数のパートナー間の継続的なコラボレーションであるという考えに基づいて構築されています。業界は長い間、コピー/貼り付け/名前の変更を組み合わせた「フォーク」モデルを使用して製品を構築してきました。新しい製品ごとに、コストとリスクのために更新がほぼ不可能になるレベルまでメンテナンスの負担が増大します。
Project Muは、UEFI開発プロセスを合理化し、全員が協力することで、PCメーカーがUEFIアップデートをより迅速に作成およびテストできるようにすることを目的としています。うまくいけば、これは欠けている部分です。Microsoftは、PCメーカーがUEFIファームウェアアップデートをユーザーに自動的に送信することをすでに容易にしているからです。
具体的には、マイクロソフトはPCメーカーに ファームウェアアップデートを発行する Windows Updateを通じて、少なくとも2017年からこれに関するドキュメントを提供しています。Microsoftも発表しました コンポーネントファームウェアの更新 ; 2018年10月に、メーカーがUEFIやその他のファームウェアを更新するために使用できるオープンソースモデル。PCメーカーがこれに参加すれば、すべてのユーザーにファームウェアの更新を非常に迅速に提供できます。
これはWindowsだけのものではありません。 Linuxでは、開発者はPCメーカーがUEFIアップデートを簡単に発行できるようにしようとしています。 LVFS 、Linuxベンダーファームウェアサービス。 PCベンダーは更新を送信でき、Ubuntuや他の多くのLinuxディストリビューションで使用されているGNOMEソフトウェアアプリケーションにダウンロード用に表示されます。この取り組みは2015年にさかのぼります。 デルとレノボ 参加しています。
WindowsおよびLinux向けのこれらのソリューションは、UEFIアップデートだけでなく影響も及ぼします。ハードウェアメーカーは、将来的にUSBマウスファームウェアからソリッドステートドライブファームウェアまですべてを更新するためにそれらを使用する可能性があります。
なので SwiftOnSecurity について話すときにそれを置きます ソリッドステートドライブのファームウェアと暗号化に関する問題 、ファームウェアの更新は信頼できます。ハードウェアメーカーにもっと期待する必要があります。
ファームウェアの更新は信頼できます。少なくとも3,000回のDellBIOSアップデートを1回の障害で開始しましたが、その古いPCはすでに障害が発生したために稼働していました。
不可能だと思うことを考え直してください。ファームウェアのサービスは不可能でも危険でもありません。それは人々がより良い要求をすることを要求します。
— SwiftOnSecurity(@SwiftOnSecurity) 2018年11月6日
画像クレジット: インテル 、 ナターシャ・エイブル 、 kubais /しゅってrsとck。こm。
