Microsoft acaba de anunciar Projeto Mu , prometendo “firmware como serviço” no hardware compatível. Todo fabricante de PC deve tomar nota. Os PCs precisam de atualizações de segurança para seu firmware UEFI, e os fabricantes de PCs têm feito um péssimo trabalho ao entregá-las.
O que é firmware UEFI?
PCs modernos usam Firmware UEFI em vez de um tradicional BIOS . O firmware UEFI é o software de baixo nível que inicia quando você inicializa o PC. Ele testa e inicializa seu hardware, faz algumas configurações de sistema de baixo nível e, em seguida, inicializa um sistema operacional a partir da unidade interna de seu computador ou de outro dispositivo de iniciaçâo .
No entanto, UEFI é um pouco mais complicado do que o software BIOS mais antigo. Por exemplo, computadores com processadores Intel têm algo chamado de Intel Management Engine , que é basicamente um pequeno sistema operacional. Ele funciona em paralelo com o Windows, Linux ou qualquer sistema operacional que você esteja executando no seu computador. Em redes corporativas, os administradores de sistema podem usar recursos do Intel ME para gerenciar remotamente seus computadores.
UEFI também contém processador “ microcódigo , ”Que é como o firmware do seu processador. Quando seu computador inicializa, ele carrega o microcódigo do firmware UEFI. Pense nisso como um intérprete que traduz instruções de software em instruções de hardware executadas na CPU.
RELACIONADOS: O que é UEFI e como ele difere do BIOS?
Por que o firmware UEFI precisa de atualizações de segurança
Os últimos anos mostraram repetidamente por que o firmware UEFI precisa de atualizações de segurança oportunas.
Todos nós aprendemos sobre Espectro em 2018, mostrando os sérios problemas arquitetônicos com CPUs modernas. Problemas com algo chamado “execução especulativa” significava que os programas podiam escapar das restrições de segurança padrão e ler áreas seguras da memória. Correções para Spectre atualizações de microcódigo de CPU necessárias para funcionar corretamente. Isso significa que os fabricantes de PC tiveram que atualizar todos os seus laptops e desktops - e os fabricantes de placas-mãe tiveram que atualizar todas as suas placas-mãe - com o novo firmware UEFI contendo o microcódigo atualizado. Seu PC não está adequadamente protegido contra Spectre, a menos que você tenha instalado uma atualização de firmware UEFI. AMD também lançou atualizações de microcódigo para proteger sistemas com processadores AMD de ataques Spectre, então isso não é apenas uma coisa da Intel.
O mecanismo de gerenciamento da Intel viu alguns bugs de segurança isso pode permitir que invasores com acesso local ao computador violem o software Management Engine ou que um invasor com acesso remoto cause problemas. Felizmente, as explorações remotas afetaram apenas as empresas que habilitaram a Intel Active Management Technology (AMT), de modo que os consumidores comuns não foram afetados.
Estes são apenas alguns exemplos. Os pesquisadores também demonstraram que é possível abusar do firmware UEFI em alguns PCs, usando-o para obter acesso profundo ao sistema. Eles até demonstraram ransomware persistente que obteve acesso ao firmware UEFI de um computador e foi executado a partir daí.
A indústria deve atualizar o firmware UEFI de cada computador, assim como qualquer outro software, para ajudar a proteger contra esses problemas e falhas semelhantes no futuro.
RELACIONADOS: Como verificar se o seu PC ou telefone está protegido contra fusão e espectro
Como o processo de atualização foi interrompido por anos
O processo de atualização do BIOS tem sido uma bagunça para sempre - muito antes da UEFI. Tradicionalmente, os computadores vêm com aquele BIOS da velha escola, e menos poderia dar errado. Os fabricantes de PC podem enviar alguns Atualizações de BIOS para consertar pequenos problemas, mas o conselho usual era evite instalá-los se o seu PC estava funcionando corretamente. Freqüentemente, era necessário inicializar de um drive DOS inicializável para fazer o flash da atualização do BIOS, e todos ouviam histórias de atualizações do BIOS falhando e travando PCs, tornando-os impossíveis de inicializar.
As coisas mudaram. O firmware UEFI faz muito mais, e a Intel lançou várias grandes atualizações para coisas como o microcódigo da CPU e o Intel ME nos últimos anos. Sempre que a Intel lança uma atualização desse tipo, tudo o que a Intel pode fazer é dizer "pergunte ao fabricante do seu computador". O fabricante do seu computador - ou fabricante da placa-mãe, se você construiu seu próprio PC - deve pegar o código da Intel e integrá-lo a uma nova versão de firmware UEFI. Em seguida, eles precisam testar o firmware. Ah, e cada fabricante tem que repetir esse processo para cada PC individual que vende, pois todos têm firmware UEFI diferente. É o tipo de trabalho manual que torna Telefones Android tão difícil de atualizar no passado.
Na prática, isso significa que geralmente leva muito tempo - muitos meses - para obter atualizações críticas de segurança que precisam ser entregues via UEFI. Isso significa que os fabricantes podem encolher os ombros e se recusar a atualizar PCs que têm apenas alguns anos. E, mesmo quando os fabricantes lançam atualizações, essas atualizações muitas vezes ficam enterradas no site de suporte do fabricante. A maioria dos usuários de PC nunca descobrirá que essas atualizações de firmware UEFI existem e as instalará, então esses bugs acabam vivendo em PCs existentes por um longo tempo. E alguns fabricantes ainda fazem você instalar atualizações de firmware por booting into DOS primeiro - apenas para torná-lo ainda mais complicado.
O que as pessoas estão fazendo sobre isso
Isso é uma bagunça. Precisamos de um processo simplificado em que os fabricantes possam criar novas atualizações de firmware UEFI com mais facilidade. Também precisamos de um processo melhor para lançar essas atualizações, para que os usuários possam instalá-las automaticamente em seus PCs. No momento, o processo é lento e manual - deve ser rápido e automático.
Isso é o que a Microsoft está tentando fazer com o Project Mu. É assim que documentação oficial explica:
Mu é construído em torno da ideia de que enviar e manter um produto UEFI é uma colaboração contínua entre vários parceiros. Por muito tempo, a indústria construiu produtos usando um modelo de “bifurcação” combinado com copiar / colar / renomear e, com cada novo produto, a carga de manutenção cresce a um nível que as atualizações são quase impossíveis devido ao custo e risco.
O Project Mu tem como objetivo ajudar os fabricantes de PC a criar e testar atualizações UEFI mais rapidamente, agilizando o processo de desenvolvimento UEFI e ajudando todos a trabalharem juntos. Felizmente, essa é a peça que faltava, pois a Microsoft já tornou mais fácil para os fabricantes de PC enviarem suas atualizações de firmware UEFI aos usuários automaticamente.
Especificamente, a Microsoft permite que os fabricantes de PC emitir atualizações de firmware por meio do Windows Update e forneceu documentação sobre isso pelo menos desde 2017. A Microsoft também anunciou Atualização de firmware de componente ; um modelo de código aberto que os fabricantes podem usar para atualizar a UEFI e outros firmware, em outubro de 2018. Se os fabricantes de PC aceitarem isso, eles podem fornecer atualizações de firmware para todos os seus usuários muito rapidamente.
Isso não é apenas uma coisa do Windows. No Linux, os desenvolvedores estão tentando tornar mais fácil para os fabricantes de PC emitir atualizações UEFI com LVFS , o Linux Vendor Firmware Service. Os fornecedores de PC podem enviar suas atualizações e elas aparecerão para download no aplicativo GNOME Software, que é usado no Ubuntu e em muitas outras distribuições do Linux. Esse esforço remonta a 2015. Os fabricantes de PC gostam Dell e Lenovo estão participando.
Essas soluções para Windows e Linux afetam mais do que apenas atualizações UEFI. Os fabricantes de hardware podem usá-los para atualizar tudo, desde firmware de mouse USB a firmware de unidade de estado sólido no futuro.
As SwiftOnSecurity coloque quando falar sobre o problemas com firmware e criptografia de unidade de estado sólido , as atualizações de firmware podem ser confiáveis. Precisamos esperar melhor dos fabricantes de hardware.
As atualizações de firmware podem ser confiáveis. Iniciei pelo menos 3.000 atualizações do BIOS da Dell com apenas uma falha, e aquele PC antigo já estava funcionando devido a falhas.
Repense o que você acha que é impossível. A manutenção do firmware não é impossível ou arriscada. Exige que as pessoas exijam melhor.
- SwiftOnSecurity (@SwiftOnSecurity) 6 de novembro de 2018
Crédito da imagem: Intel , Natascha Eibl , Kubais /Shutterstock.com.
