Microsoft heeft zojuist aangekondigd Project Mu , veelbelovende "firmware as a service" op ondersteunde hardware. Elke pc-fabrikant moet er rekening mee houden. Pc's hebben beveiligingsupdates voor hun UEFI-firmware nodig, en pc-fabrikanten hebben deze slecht geleverd.
What Is UEFI Firmware?
Moderne pc's gebruiken UEFI-firmware in plaats van een traditioneel BIOS . De UEFI-firmware is de software op laag niveau die start wanneer u uw pc opstart. Het test en initialiseert uw hardware, voert een systeemconfiguratie op laag niveau uit en start vervolgens een besturingssysteem op vanaf de interne schijf van uw computer of een andere opstartapparaat .
UEFI is echter iets gecompliceerder dan de oudere BIOS-software. Computers met Intel-processors hebben bijvoorbeeld de zogeheten Intel Management Engine , wat eigenlijk een klein besturingssysteem is. Het werkt parallel met Windows, Linux of welk besturingssysteem dan ook dat u op uw computer gebruikt. Op bedrijfsnetwerken kunnen systeembeheerders functies in de Intel ME gebruiken om hun computers op afstand te beheren.
UEFI bevat ook processor “ microcode , ”Wat een soort firmware voor uw processor is. Wanneer uw computer opstart, wordt de microcode van de UEFI-firmware geladen. Zie het als een tolk die software-instructies vertaalt naar hardware-instructies die op de CPU worden uitgevoerd.
VERWANT: Wat is UEFI en hoe verschilt het van BIOS?
Waarom UEFI Firmware beveiligingsupdates nodig heeft
De afgelopen jaren hebben keer op keer laten zien waarom UEFI-firmware tijdige beveiligingsupdates nodig heeft.
We hebben er allemaal over geleerd Spectrum in 2018, waarin de ernstige architecturale problemen met moderne CPU's worden getoond. Problemen met iets dat "speculatieve uitvoering" wordt genoemd, betekenden dat programma's konden ontsnappen aan standaard beveiligingsbeperkingen en beveiligde gebieden van het geheugen konden lezen. Oplossingen voor Spectre vereiste CPU-microcode-updates om correct te functioneren. Dat betekent dat pc-fabrikanten al hun laptop- en desktop-pc's moesten updaten - en moederbordfabrikanten moesten al hun moederborden updaten - met nieuwe UEFI-firmware met de bijgewerkte microcode. Uw pc is niet voldoende beschermd tegen Spectre, tenzij u een UEFI-firmware-update heeft geïnstalleerd. AMD heeft ook microcode-updates uitgebracht om systemen met AMD-processors te beschermen tegen Spectre-aanvallen, dus dit is niet alleen iets van Intel.
Intel's Management Engine heeft er een aantal gezien beveiligingsfouten waardoor aanvallers met lokale toegang tot de computer de Management Engine-software kunnen kraken, of een aanvaller met externe toegang problemen kunnen veroorzaken. Gelukkig waren de externe exploits alleen van invloed op bedrijven die Intel Active Management Technology (AMT) hadden ingeschakeld, dus de gemiddelde consument had er geen last van.
Dit zijn slechts enkele voorbeelden. Onderzoekers hebben ook aangetoond dat het mogelijk is om de UEFI-firmware op sommige pc's te misbruiken en deze te gebruiken om diepe toegang tot het systeem te krijgen. Ze hebben zelfs gedemonstreerd aanhoudende ransomware die toegang kreeg tot de UEFI-firmware van een computer en vanaf daar werd uitgevoerd.
De industrie zou de UEFI-firmware van elke computer moeten updaten, net als alle andere software, om in de toekomst bescherming te bieden tegen deze problemen en soortgelijke gebreken.
VERWANT: Hoe u kunt controleren of uw pc of telefoon is beschermd tegen meltdown en spook
Hoe het updateproces jarenlang is verbroken
Het BIOS-updateproces is voor altijd een puinhoop geweest - al lang vóór UEFI. Traditioneel worden computers geleverd met dat old-school BIOS, en er kan minder fout gaan. Pc-fabrikanten kunnen er een paar verzenden BIOS-updates om kleine problemen op te lossen, maar het gebruikelijke advies was om vermijd ze te installeren als uw pc correct werkte. Je moest vaak opstarten vanaf een opstartbare DOS-schijf om de BIOS-update te flashen, en iedereen hoorde verhalen over BIOS-updates die faalden en pc's met stenen blokkeerden, waardoor ze niet meer konden worden opgestart.
Dingen zijn veranderd. UEFI-firmware doet veel meer, en Intel heeft de afgelopen jaren verschillende grote updates uitgebracht voor zaken als CPU-microcode en de Intel ME. Telkens wanneer Intel een dergelijke update uitbrengt, kan Intel alleen maar 'vraag het aan uw computerfabrikant' zeggen. Uw computerfabrikant - of moederbordfabrikant, als u uw eigen pc heeft gebouwd - moet de code van Intel overnemen en deze in een nieuwe UEFI-firmwareversie integreren. Ze moeten dan de firmware testen. Oh, en elke fabrikant moet dit proces herhalen voor elke individuele pc die ze verkopen, omdat ze allemaal verschillende UEFI-firmware hebben. Het is het soort handmatig werk dat heeft gemaakt Android-telefoons zo moeilijk te updaten in het verleden.
In de praktijk betekent dit dat het vaak veel tijd - vele maanden - kost om kritieke beveiligingsupdates te krijgen die via UEFI moeten worden aangeleverd. Het betekent dat fabrikanten mogelijk hun schouders ophalen en weigeren pc's bij te werken die nog maar een paar jaar oud zijn. En zelfs als fabrikanten updates vrijgeven, worden die updates vaak begraven op de ondersteuningswebsite van die fabrikant. De meeste pc-gebruikers zullen nooit ontdekken dat die UEFI-firmware-updates bestaan en deze installeren, dus deze bugs blijven nog lang op bestaande pc's voortleven. En sommige fabrikanten laten je nog steeds firmware-updates installeren door opstarten in DOS ten eerste - alleen om het extra ingewikkeld te maken.
Wat mensen eraan doen
Dat is een zooitje. We hebben een gestroomlijnd proces nodig waarbij fabrikanten gemakkelijker nieuwe UEFI-firmware-updates kunnen maken. We hebben ook een beter proces nodig om die updates vrij te geven, zodat gebruikers ze automatisch op hun pc kunnen installeren. Op dit moment is het proces traag en handmatig - het zou snel en automatisch moeten zijn.
Dat is wat Microsoft probeert te doen met Project Mu. Hier is hoe de officiële documentatie legt het uit:
Mu is gebouwd rond het idee dat het verzenden en onderhouden van een UEFI-product een voortdurende samenwerking is tussen talloze partners. De industrie heeft te lang producten gebouwd met behulp van een "forking" -model in combinatie met kopiëren / plakken / hernoemen en met elk nieuw product groeit de onderhoudslast tot een zodanig niveau dat updates bijna onmogelijk zijn vanwege kosten en risico's.
Bij Project Mu draait alles om het helpen van pc-fabrikanten om UEFI-updates sneller te maken en te testen door het UEFI-ontwikkelingsproces te stroomlijnen en iedereen te helpen samenwerken. Hopelijk is dit het ontbrekende stuk, aangezien Microsoft het voor pc-fabrikanten al gemakkelijker heeft gemaakt om hun UEFI-firmware-updates automatisch naar gebruikers te sturen.
In het bijzonder laat Microsoft pc-fabrikanten toe firmware-updates uitgeven via Windows Update en heeft hierover documentatie verstrekt sinds in ieder geval 2017. Microsoft kondigde ook aan Component Firmware Update ; een open-source model dat fabrikanten kunnen gebruiken om UEFI en andere firmware bij te werken, in oktober 2018. Als pc-fabrikanten hiermee aan boord gaan, kunnen ze heel snel firmware-updates aan al hun gebruikers leveren.
Dit is ook niet alleen iets voor Windows. Op Linux proberen ontwikkelaars het voor pc-fabrikanten gemakkelijker te maken om UEFI-updates uit te geven LVFS , de Linux Vendor Firmware Service. Pc-leveranciers kunnen hun updates indienen en ze verschijnen om te downloaden in de GNOME-softwareapplicatie, die wordt gebruikt op Ubuntu en vele andere Linux-distributies. Deze inspanning dateert uit 2015. PC-fabrikanten houden van Dell en Lenovo doen mee.
Deze oplossingen voor Windows en Linux zijn niet alleen van invloed op UEFI-updates. Hardwarefabrikanten zouden ze kunnen gebruiken om in de toekomst alles bij te werken, van USB-muisfirmware tot solid-state drive-firmware.
Zoals SwiftOnSecurity zet het als we praten over de problemen met firmware en versleuteling van de solid-state schijf kunnen firmware-updates betrouwbaar zijn. We moeten beter verwachten van hardwarefabrikanten.
Firmware-updates kunnen betrouwbaar zijn. Ik heb ten minste 3.000 Dell BIOS-updates geïnitieerd met slechts één fout, en die oude pc was al in gebruik vanwege een storing.
Denk opnieuw na over wat u denkt dat onmogelijk is. Firmware-onderhoud is niet onmogelijk of riskant. Het vereist dat mensen betere eisen stellen.
- SwiftOnSecurity (@SwiftOnSecurity) November 6, 2018
Afbeelding tegoed: Intel , Natascha Eibl , kubais /Shutterstock.com.
