Microsoft는 방금 발표했습니다. 프로젝트 뮤 , 지원되는 하드웨어에 대해 "서비스로서의 펌웨어"를 약속합니다. 모든 PC 제조업체는주의해야합니다. PC에는 UEFI 펌웨어에 대한 보안 업데이트가 필요하며 PC 제조업체는이를 제공하는 데 실패했습니다.
UEFI 펌웨어 란?
최신 PC 사용 UEFI 펌웨어 전통적인 대신 BIOS . UEFI 펌웨어는 PC를 부팅 할 때 시작되는 저수준 소프트웨어입니다. 하드웨어를 테스트 및 초기화하고 일부 하위 수준 시스템 구성을 수행 한 다음 컴퓨터의 내부 드라이브 또는 다른 드라이브에서 운영 체제를 부팅합니다. 부팅 장치 .
그러나 UEFI는 이전 BIOS 소프트웨어보다 조금 더 복잡합니다. 예를 들어, Intel 프로세서가 탑재 된 컴퓨터에는 인텔 관리 엔진 , 기본적으로 작은 운영 체제입니다. Windows, Linux 또는 컴퓨터에서 실행중인 모든 운영 체제와 병렬로 실행됩니다. 회사 네트워크에서 시스템 관리자는 Intel ME의 기능을 사용하여 컴퓨터를 원격으로 관리 할 수 있습니다.
UEFI에는 프로세서 " 마이크로 코드 ,”는 프로세서의 펌웨어와 같은 종류입니다. 컴퓨터가 부팅되면 UEFI 펌웨어에서 마이크로 코드를로드합니다. 소프트웨어 명령을 CPU에서 수행되는 하드웨어 명령으로 변환하는 인터프리터라고 생각하면됩니다.
관련 : UEFI는 무엇이고 BIOS와 어떻게 다릅니 까?
UEFI 펌웨어에 보안 업데이트가 필요한 이유
지난 몇 년 동안 UEFI 펌웨어에 적시에 보안 업데이트가 필요한 이유를 계속해서 보여주었습니다.
우리 모두는 스펙트럼 2018 년에는 최신 CPU의 심각한 아키텍처 문제를 보여줍니다. "추측 실행"이라는 문제는 프로그램이 표준 보안 제한을 벗어나 메모리의 보안 영역을 읽을 수 있음을 의미했습니다. 스펙터 수정 필수 CPU 마이크로 코드 업데이트 올바르게 작동합니다. 즉, PC 제조업체는 모든 랩톱 및 데스크톱 PC를 업데이트해야하고 마더 보드 제조업체는 업데이트 된 마이크로 코드가 포함 된 새로운 UEFI 펌웨어로 모든 마더 보드를 업데이트해야했습니다. UEFI 펌웨어 업데이트를 설치하지 않으면 PC가 Spectre로부터 적절하게 보호되지 않습니다. AMD 또한 Spectre 공격으로부터 AMD 프로세서를 사용하는 시스템을 보호하기 위해 마이크로 코드 업데이트를 출시했습니다. 따라서 이것은 Intel만의 문제가 아닙니다.
인텔의 관리 엔진은 보안 버그 이는 컴퓨터에 대한 로컬 액세스 권한이있는 공격자가 관리 엔진 소프트웨어를 크래킹하거나 원격 액세스 권한이있는 공격자가 문제를 일으킬 수 있습니다. 다행히 원격 익스플로잇은 인텔 액티브 관리 기술 (AMT)을 활성화 한 기업에만 영향을 미쳤으므로 일반 소비자는 영향을받지 않았습니다.
이것은 단지 몇 가지 예일뿐입니다. 연구원들은 또한 일부 PC에서 UEFI 펌웨어를 악용하여 시스템에 대한 심층 액세스 권한을 획득 할 수 있음을 보여주었습니다. 그들은 심지어 시연했습니다 영구 랜섬웨어 컴퓨터의 UEFI 펌웨어에 대한 액세스 권한을 얻고 거기에서 실행되었습니다.
업계는 향후 이러한 문제와 유사한 결함으로부터 보호하기 위해 다른 소프트웨어와 마찬가지로 모든 컴퓨터의 UEFI 펌웨어를 업데이트해야합니다.
관련 : PC 또는 휴대폰이 멜트 다운 및 스펙터로부터 보호되는지 확인하는 방법
수년간 업데이트 프로세스가 중단 된 방법
BIOS 업데이트 프로세스는 UEFI 이전부터 영원히 엉망이었습니다. 전통적으로 컴퓨터는 구식 BIOS와 함께 제공되며 잘못 될 가능성이 적습니다. PC 제조업체는 몇 개를 배송 할 수 있습니다. BIOS 업데이트 사소한 문제를 해결하기 위해 일반적인 조언은 그들을 설치하지 마십시오 PC가 제대로 작동하는 경우. BIOS 업데이트를 플래시하기 위해 부팅 가능한 DOS 드라이브에서 부팅해야하는 경우가 많았으며 모든 사람들이 BIOS 업데이트가 실패하고 PC가 손상되어 부팅이 불가능하다는 이야기를 들었습니다.
여러가지가 바뀌었다. UEFI 펌웨어는 훨씬 더 많은 기능을 수행하며 Intel은 지난 몇 년 동안 CPU 마이크로 코드 및 Intel ME와 같은 것에 대한 몇 가지 큰 업데이트를 발표했습니다. 인텔이 이러한 업데이트를 출시 할 때마다 인텔이 할 수있는 일은 "컴퓨터 제조업체에 문의"라고 말하는 것뿐입니다. 컴퓨터 제조업체 또는 마더 보드 제조업체 (직접 PC를 구축 한 경우)는 Intel에서 코드를 가져 와서 새로운 UEFI 펌웨어 버전에 통합해야합니다. 그런 다음 펌웨어를 테스트해야합니다. 아, 그리고 각 제조업체는 판매하는 모든 개별 PC에 대해이 프로세스를 반복해야합니다. 모두 UEFI 펌웨어가 다르기 때문입니다. 수작업을 통해 안드로이드 폰 과거에는 업데이트하기가 너무 어려웠습니다.
실제로 이는 UEFI를 통해 제공해야하는 중요한 보안 업데이트를받는 데 종종 오랜 시간 (수개월)이 걸린다는 것을 의미합니다. 이는 제조업체가 겨우 몇 년 된 PC의 업데이트를 거부 할 수 있음을 의미합니다. 또한 제조업체가 업데이트를 출시하더라도 해당 업데이트는 해당 제조업체의 지원 웹 사이트에 묻혀있는 경우가 많습니다. 대부분의 PC 사용자는 이러한 UEFI 펌웨어 업데이트가 존재한다는 사실을 발견하고 설치하지 못하므로 이러한 버그는 기존 PC에 오랫동안 남아있게됩니다. 일부 제조업체는 여전히 펌웨어 업데이트를 설치하도록합니다. DOS로 부팅 첫째, 단지 그것을 더 복잡하게 만들기 위해서입니다.
사람들이 그것에 대해하는 일
엉망입니다. 제조업체가 새로운 UEFI 펌웨어 업데이트를보다 쉽게 만들 수있는 간소화 된 프로세스가 필요합니다. 또한 사용자가 PC에 자동으로 설치할 수 있도록 이러한 업데이트를 릴리스하는 더 나은 프로세스가 필요합니다. 지금은 프로세스가 느리고 수동적이며 빠르고 자동이어야합니다.
이것이 바로 Microsoft가 Project Mu로하려는 것입니다. 방법은 다음과 같습니다. 공식 문서 설명 :
Mu는 UEFI 제품의 배송 및 유지 관리가 수많은 파트너 간의 지속적인 협력이라는 아이디어를 바탕으로 구축되었습니다. 너무 오랫동안 업계는 복사 / 붙여 넣기 / 이름 변경과 결합 된 "포킹"모델을 사용하여 제품을 구축해 왔으며 각 신제품마다 유지 관리 부담이 비용과 위험으로 인해 업데이트가 거의 불가능할 정도로 증가했습니다.
Project Mu는 PC 제조업체가 UEFI 개발 프로세스를 간소화하고 모두가 함께 작업 할 수 있도록 지원하여 UEFI 업데이트를 더 빠르게 만들고 테스트 할 수 있도록 지원합니다. Microsoft는 이미 PC 제조업체가 UEFI 펌웨어 업데이트를 사용자에게 자동으로 보내는 것을 더 쉽게 만들었 기 때문에 이것이 누락 된 부분입니다.
특히 Microsoft는 PC 제조업체가 펌웨어 업데이트 발행 Windows Update를 통해 2017 년부터 이에 대한 문서를 제공했습니다. Microsoft도 발표했습니다. 구성 요소 펌웨어 업데이트 ; 2018 년 10 월에 제조업체가 UEFI 및 기타 펌웨어를 업데이트하는 데 사용할 수있는 오픈 소스 모델입니다. PC 제조업체가 이에 참여하면 모든 사용자에게 펌웨어 업데이트를 매우 빠르게 제공 할 수 있습니다.
이것은 Windows만의 문제가 아닙니다. Linux에서 개발자는 PC 제조업체가 UEFI 업데이트를 쉽게 발급 할 수 있도록 노력하고 있습니다. LVFS , Linux 공급 업체 펌웨어 서비스. PC 공급 업체는 업데이트를 제출할 수 있으며 Ubuntu 및 기타 여러 Linux 배포판에서 사용되는 그놈 소프트웨어 응용 프로그램에 다운로드 용으로 표시됩니다. 이 노력은 2015 년으로 거슬러 올라갑니다. PC 제조업체는 Dell과 Lenovo 참여하고 있습니다.
이러한 Windows 및 Linux 용 솔루션은 UEFI 업데이트에만 영향을 미칩니다. 하드웨어 제조업체는이를 사용하여 향후 USB 마우스 펌웨어에서 솔리드 스테이트 드라이브 펌웨어까지 모든 것을 업데이트 할 수 있습니다.
같이 SwiftOnSecurity 에 대해 말할 때 넣어 솔리드 스테이트 드라이브 펌웨어 및 암호화 문제 , 펌웨어 업데이트를 신뢰할 수 있습니다. 우리는 하드웨어 제조업체로부터 더 나은 것을 기대해야합니다.
펌웨어 업데이트는 신뢰할 수 있습니다. 한 번만 오류가 발생한 상태에서 최소 3,000 개의 Dell BIOS 업데이트를 시작했으며 이전 PC는 이미 오류로 인해 서비스 중이었습니다.
불가능하다고 생각하는 것을 다시 생각하십시오. 펌웨어 서비스는 불가능하거나 위험하지 않습니다. 사람들은 더 나은 요구를 요구합니다.
— SwiftOnSecurity (@SwiftOnSecurity) 2018 년 11 월 6 일
