Microsoft เพิ่งประกาศ โครงการหมู่ , สัญญาว่าจะเป็น "เฟิร์มแวร์เป็นบริการ" บนฮาร์ดแวร์ที่รองรับ ผู้ผลิตพีซีทุกรายควรทราบ พีซีจำเป็นต้องมีการอัปเดตความปลอดภัยสำหรับเฟิร์มแวร์ UEFI และผู้ผลิตพีซีทำงานได้ไม่ดีในการส่งมอบ
เฟิร์มแวร์ UEFI คืออะไร?
ใช้พีซีสมัยใหม่ เฟิร์มแวร์ UEFI แทนที่จะเป็นแบบดั้งเดิม ไบออส . เฟิร์มแวร์ UEFI เป็นซอฟต์แวร์ระดับต่ำที่เริ่มทำงานเมื่อคุณบูตพีซีของคุณ จะทดสอบและเริ่มต้นฮาร์ดแวร์ของคุณทำการกำหนดค่าระบบระดับต่ำจากนั้นบูตระบบปฏิบัติการจากไดรฟ์ภายในคอมพิวเตอร์ของคุณหรืออื่น ๆ อุปกรณ์บูต .
อย่างไรก็ตาม UEFI มีความซับซ้อนกว่าซอฟต์แวร์ BIOS รุ่นเก่าเล็กน้อย ตัวอย่างเช่นคอมพิวเตอร์ที่มีโปรเซสเซอร์ Intel มีสิ่งที่เรียกว่า Intel Management Engine ซึ่งโดยพื้นฐานแล้วเป็นระบบปฏิบัติการขนาดเล็ก ทำงานควบคู่ไปกับ Windows, Linux หรือระบบปฏิบัติการใด ๆ ที่คุณใช้งานบนคอมพิวเตอร์ของคุณ บนเครือข่ายขององค์กรผู้ดูแลระบบสามารถใช้คุณสมบัติใน Intel ME เพื่อจัดการคอมพิวเตอร์จากระยะไกลได้
UEFI ยังมีโปรเซสเซอร์“ ไมโครโค้ด ,” ซึ่งเหมือนกับเฟิร์มแวร์สำหรับโปรเซสเซอร์ของคุณ เมื่อคอมพิวเตอร์ของคุณบูตเครื่องจะโหลดไมโครโค้ดจากเฟิร์มแวร์ UEFI ให้คิดว่ามันเหมือนกับล่ามที่แปลคำแนะนำซอฟต์แวร์เป็นคำแนะนำฮาร์ดแวร์ที่ดำเนินการกับ CPU
ที่เกี่ยวข้อง: UEFI คืออะไรและแตกต่างจาก BIOS อย่างไร
ทำไมเฟิร์มแวร์ UEFI จึงต้องการการอัปเดตความปลอดภัย
ไม่กี่ปีที่ผ่านมาแสดงให้เห็นว่าทำไมเฟิร์มแวร์ UEFI จึงต้องการการอัปเดตความปลอดภัยอย่างทันท่วงที
เราทุกคนได้เรียนรู้เกี่ยวกับ คลื่นความถี่ ในปี 2018 แสดงให้เห็นถึงปัญหาทางสถาปัตยกรรมที่ร้ายแรงกับซีพียูสมัยใหม่ ปัญหาเกี่ยวกับสิ่งที่เรียกว่า“ การดำเนินการโดยคาดเดา” หมายความว่าโปรแกรมสามารถหลีกเลี่ยงข้อ จำกัด ด้านความปลอดภัยมาตรฐานและอ่านพื้นที่ที่ปลอดภัยของหน่วยความจำได้ แก้ไขเพื่อ Spectre จำเป็นต้องมีการอัปเดตไมโครโค้ดของ CPU เพื่อให้ทำงานได้อย่างถูกต้อง นั่นหมายความว่าผู้ผลิตพีซีต้องอัปเดตแล็ปท็อปและพีซีเดสก์ท็อปทั้งหมดและผู้ผลิตเมนบอร์ดต้องอัปเดตเมนบอร์ดทั้งหมดด้วยเฟิร์มแวร์ UEFI ใหม่ที่มีไมโครโค้ดที่อัปเดต พีซีของคุณไม่ได้รับการป้องกันอย่างเพียงพอจาก Spectre เว้นแต่คุณจะติดตั้งอัปเดตเฟิร์มแวร์ UEFI AMD นอกจากนี้ยังเปิดตัวการอัปเดตไมโครโค้ดเพื่อปกป้องระบบที่มีโปรเซสเซอร์ AMD จากการโจมตีของ Spectre ดังนั้นนี่จึงไม่ใช่แค่สิ่งที่ Intel
Intel’s Management Engine ได้เห็นมาบ้างแล้ว ข้อบกพร่องด้านความปลอดภัย ที่อาจปล่อยให้ผู้โจมตีที่มีสิทธิ์เข้าถึงคอมพิวเตอร์ในพื้นที่สามารถถอดรหัสซอฟต์แวร์ Management Engine หรือปล่อยให้ผู้โจมตีที่มีการเข้าถึงระยะไกลก่อให้เกิดปัญหา โชคดีที่การหาประโยชน์จากระยะไกลได้รับผลกระทบเฉพาะธุรกิจที่เปิดใช้งาน Intel Active Management Technology (AMT) ดังนั้นผู้บริโภคทั่วไปจึงไม่ได้รับผลกระทบ
นี่เป็นเพียงตัวอย่างบางส่วน นักวิจัยยังแสดงให้เห็นว่ามีความเป็นไปได้ที่จะละเมิดเฟิร์มแวร์ UEFI บนพีซีบางเครื่องโดยใช้เพื่อเข้าถึงระบบโดยละเอียด พวกเขาได้แสดงให้เห็นแล้ว ransomware ถาวร ที่เข้าถึงเฟิร์มแวร์ UEFI ของคอมพิวเตอร์และเรียกใช้จากที่นั่น
อุตสาหกรรมควรอัปเดตเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ทุกเครื่องเช่นเดียวกับซอฟต์แวร์อื่น ๆ เพื่อช่วยป้องกันปัญหาเหล่านี้และข้อบกพร่องที่คล้ายกันในอนาคต
ที่เกี่ยวข้อง: วิธีตรวจสอบว่าพีซีหรือโทรศัพท์ของคุณได้รับการป้องกันจากการล่มสลายและ Spectre หรือไม่
กระบวนการอัปเดตถูกทำลายมาหลายปีอย่างไร
กระบวนการอัพเดตไบออสนั้นยุ่งเหยิงไปตลอดกาล - ตั้งแต่ก่อน UEFI นาน ตามเนื้อผ้าคอมพิวเตอร์ที่มาพร้อมกับ BIOS ของโรงเรียนเก่าและน้อยกว่าอาจผิดพลาดได้ ผู้ผลิตพีซีอาจจัดส่งไม่กี่ราย อัพเดต BIOS เพื่อแก้ไขปัญหาเล็กน้อย แต่คำแนะนำตามปกติคือ หลีกเลี่ยงการติดตั้ง หากพีซีของคุณทำงานอย่างถูกต้อง คุณมักจะต้องบูตจากไดรฟ์ DOS ที่สามารถบู๊ตได้เพื่อแฟลชการอัปเดต BIOS และทุกคนก็ได้ยินเรื่องราวของการอัปเดต BIOS ที่ล้มเหลวและทำให้พีซีหยุดทำงานทำให้ไม่สามารถบูต
สิ่งต่างๆมีการเปลี่ยนแปลง เฟิร์มแวร์ UEFI ทำอะไรได้มากกว่านี้และ Intel ได้เปิดตัวการอัปเดตใหญ่ ๆ สำหรับสิ่งต่างๆเช่น CPU microcode และ Intel ME ในช่วงไม่กี่ปีที่ผ่านมา เมื่อใดก็ตามที่ Intel ออกการอัปเดตดังกล่าว Intel ทำได้ทั้งหมดคือพูดว่า“ ถามผู้ผลิตคอมพิวเตอร์ของคุณ” ผู้ผลิตคอมพิวเตอร์ของคุณหรือผู้ผลิตแผงวงจรหลักหากคุณสร้างพีซีของคุณเองจะต้องรับรหัสจาก Intel และรวมเข้ากับเฟิร์มแวร์ UEFI เวอร์ชันใหม่ จากนั้นพวกเขาจะต้องทดสอบเฟิร์มแวร์ โอ้ผู้ผลิตแต่ละรายต้องทำขั้นตอนนี้ซ้ำสำหรับพีซีทุกเครื่องที่ขายเนื่องจากพวกเขาทั้งหมดมีเฟิร์มแวร์ UEFI ที่แตกต่างกัน เป็นงานที่ต้องทำด้วยตนเอง โทรศัพท์ Android ยากมากที่จะอัปเดตในอดีต
ในทางปฏิบัติหมายความว่ามักใช้เวลานานหลายเดือนในการรับการอัปเดตด้านความปลอดภัยที่สำคัญซึ่งต้องจัดส่งผ่าน UEFI หมายความว่าผู้ผลิตอาจยักไหล่และปฏิเสธที่จะอัปเดตพีซีที่มีอายุเพียงไม่กี่ปี และแม้ว่าผู้ผลิตจะเผยแพร่การอัปเดต แต่การอัปเดตเหล่านั้นมักจะฝังอยู่ในเว็บไซต์สนับสนุนของผู้ผลิตรายนั้น ผู้ใช้พีซีส่วนใหญ่จะไม่พบว่ามีการอัปเดตเฟิร์มแวร์ UEFI เหล่านั้นและติดตั้งไว้ดังนั้นข้อบกพร่องเหล่านี้จึงอยู่ในพีซีที่มีอยู่เป็นเวลานาน และผู้ผลิตบางรายยังคงให้คุณติดตั้งอัพเดตเฟิร์มแวร์โดย บูตเข้าสู่ DOS อันดับแรกเพียงแค่ทำให้ซับซ้อนเป็นพิเศษ
ผู้คนกำลังทำอะไรกับมัน
นั่นเป็นเรื่องยุ่ง เราต้องการกระบวนการที่คล่องตัวซึ่งผู้ผลิตสามารถสร้างอัพเดตเฟิร์มแวร์ UEFI ใหม่ได้ง่ายขึ้น นอกจากนี้เรายังต้องการกระบวนการที่ดีกว่าในการเผยแพร่การอัปเดตเหล่านั้นเพื่อให้ผู้ใช้สามารถติดตั้งโดยอัตโนมัติบนพีซีของตนได้ ขณะนี้กระบวนการทำงานช้าและดำเนินการด้วยตนเองควรจะเร็วและเป็นไปโดยอัตโนมัติ
นั่นคือสิ่งที่ Microsoft พยายามทำกับ Project Mu นี่คือวิธีการ เอกสารอย่างเป็นทางการ อธิบายว่า:
Mu สร้างขึ้นจากแนวคิดที่ว่าการจัดส่งและบำรุงรักษาผลิตภัณฑ์ UEFI เป็นความร่วมมืออย่างต่อเนื่องระหว่างพันธมิตรจำนวนมาก เป็นเวลานานเกินไปที่อุตสาหกรรมได้สร้างผลิตภัณฑ์โดยใช้โมเดล "ฟอร์ก" รวมกับการคัดลอก / วาง / เปลี่ยนชื่อและสำหรับผลิตภัณฑ์ใหม่แต่ละชิ้นภาระการบำรุงรักษาจะเพิ่มขึ้นจนถึงระดับที่การอัปเดตแทบจะเป็นไปไม่ได้เนื่องจากต้นทุนและความเสี่ยง
Project Mu เป็นข้อมูลเกี่ยวกับการช่วยให้ผู้ผลิตพีซีสร้างและทดสอบการอัปเดต UEFI ได้เร็วขึ้นโดยการปรับปรุงกระบวนการพัฒนา UEFI และช่วยให้ทุกคนทำงานร่วมกัน หวังว่านี่จะเป็นชิ้นส่วนที่ขาดหายไปเนื่องจาก Microsoft ได้ทำให้ผู้ผลิตพีซีสามารถส่งการอัปเดตเฟิร์มแวร์ UEFI ให้กับผู้ใช้โดยอัตโนมัติได้ง่ายขึ้น
โดยเฉพาะ Microsoft อนุญาตให้ผู้ผลิตพีซี ออกอัพเดตเฟิร์มแวร์ ผ่าน Windows Update และได้จัดทำเอกสารเกี่ยวกับเรื่องนี้ตั้งแต่ปี 2017 เป็นอย่างน้อย Microsoft ก็ประกาศเช่นกัน อัพเดตเฟิร์มแวร์ของคอมโพเนนต์ ; แบบจำลองโอเพนซอร์สที่ผู้ผลิตสามารถใช้เพื่ออัปเดต UEFI และเฟิร์มแวร์อื่น ๆ ย้อนกลับไปในเดือนตุลาคม 2018 หากผู้ผลิตพีซีเข้าร่วมกับสิ่งนี้พวกเขาสามารถส่งการอัปเดตเฟิร์มแวร์ให้กับผู้ใช้ทุกคนได้อย่างรวดเร็ว
นี่ไม่ใช่แค่ Windows เท่านั้น ใน Linux นักพัฒนาพยายามทำให้ผู้ผลิตพีซีออกอัปเดต UEFI ด้วยได้ง่ายขึ้น LVFS , บริการเฟิร์มแวร์ของผู้จำหน่าย Linux ผู้จำหน่ายพีซีสามารถส่งการอัปเดตของตนและจะปรากฏให้ดาวน์โหลดในแอปพลิเคชันซอฟต์แวร์ GNOME ซึ่งใช้กับ Ubuntu และ Linux อื่น ๆ อีกมากมาย ความพยายามนี้ย้อนกลับไปในปี 2015 ผู้ผลิตพีซีชอบ Dell และ Lenovo กำลังเข้าร่วม
โซลูชันเหล่านี้สำหรับ Windows และ Linux มีผลมากกว่าการอัปเดต UEFI ด้วยเช่นกัน ผู้ผลิตฮาร์ดแวร์สามารถใช้เพื่ออัปเดตทุกอย่างตั้งแต่เฟิร์มแวร์เมาส์ USB ไปจนถึงเฟิร์มแวร์ไดรฟ์โซลิดสเทตในอนาคต
เช่น SwiftOnSecurity ใส่ไว้เมื่อพูดถึง ปัญหาเกี่ยวกับเฟิร์มแวร์ไดรฟ์โซลิดสเทตและการเข้ารหัส การอัปเดตเฟิร์มแวร์สามารถเชื่อถือได้ เราจำเป็นต้องคาดหวังให้ดีขึ้นจากผู้ผลิตฮาร์ดแวร์
การอัปเดตเฟิร์มแวร์สามารถเชื่อถือได้ ฉันได้เริ่มการอัปเดต Dell BIOS อย่างน้อย 3,000 รายการโดยมีความล้มเหลวเพียงครั้งเดียวและพีซีเครื่องเก่านั้นได้รับการบริการแล้วเนื่องจากความล้มเหลว
คิดใหม่ในสิ่งที่คุณคิดว่าเป็นไปไม่ได้ การให้บริการเฟิร์มแวร์ไม่ใช่สิ่งที่เป็นไปไม่ได้หรือมีความเสี่ยง ต้องมีคนเรียกร้องที่ดีกว่า
- SwiftOnSecurity (@SwiftOnSecurity) 6 พฤศจิกายน 2561
เครดิตรูปภาพ: Intel , ณัชชา Eibl , kubais /Shutterstock.com.
