PCのUEFIファームウェアにセキュリティアップデートが必要な理由

マイクロソフトは先日、Project Muを発表しました。サポートされるハードウェア上の「サービスとしてのファームウェア」。すべてのPCメーカーが注意する必要があります。 PCにはUEFIファームウェアのセキュリティ更新プログラムが必要であり、PCメーカーはそれらを配信するのに不十分な仕事をしています。

UEFIファームウェアとは何ですか？

最近のPCでは、UEFIファームウェアの代わりに従来のBIOS。 UEFIファームウェアは、PCの起動時に起動する低レベルのソフトウェアです。ハードウェアをテストおよび初期化し、低レベルのシステム構成を行い、コンピューターの内部ドライブまたは別の起動デバイスからオペレーティングシステムを起動します。

ただし、UEFIはより複雑です古いBIOSソフトウェア。たとえば、Intelプロセッサを搭載したコンピューターにはIntel Management Engineと呼ばれるものがあり、これは基本的に小さなオペレーティングシステムです。 Windows、Linux、またはコンピューターで実行しているオペレーティングシステムと並行して実行されます。企業ネットワークでは、システム管理者はIntel MEの機能を使用してコンピューターをリモートで管理できます。

UEFIには、プロセッサ「マイクロコード」も含まれています。プロセッサのファームウェアのようなものです。コンピューターが起動すると、UEFIファームウェアからマイクロコードがロードされます。これは、CPUで実行されるソフトウェア命令をハードウェア命令に変換するインタープリターのようなものだと考えてください。

関連する： UEFIとは何ですか？BIOSとの違いは何ですか？

UEFIファームウェアにセキュリティアップデートが必要な理由

過去数年は、UEFIファームウェアがタイムリーなセキュリティ更新を必要とする理由を何度も示してきました。

私たちはすべて2018年にスペクターについて学び、最新のCPUに伴う深刻なアーキテクチャ上の問題。 「投機的実行」と呼ばれる問題は、プログラムが標準のセキュリティ制限を回避し、メモリの安全な領域を読み取ることができることを意味していました。 Spectreを修正するには、CPUマイクロコードの更新が正しく機能する必要がありました。つまり、PCメーカーはすべてのラップトップおよびデスクトップPCを更新する必要があり、マザーボードメーカーは更新されたマイクロコードを含む新しいUEFIファームウェアですべてのマザーボードを更新する必要がありました。 UEFIファームウェアアップデートをインストールしない限り、PCはSpectreから適切に保護されません。 AMDは、AMDプロセッサを搭載したシステムをSpecter攻撃から保護するためのマイクロコードアップデートもリリースしたため、これはIntelだけのものではありません。

Intelの管理エンジンは、いくつかのセキュリティを見てきましたコンピューターへのローカルアクセスを持つ攻撃者にManagement Engineソフトウェアをクラックさせるか、リモートアクセスを持つ攻撃者に問題を引き起こす可能性があるバグ。幸いなことに、リモートエクスプロイトはIntel Active Management Technology（AMT）を有効にした企業にのみ影響を与えたため、平均的な消費者は影響を受けませんでした。

これらはほんの一例です。 研究者は、一部のPCでUEFIファームウェアを悪用し、それを使用してシステムに深くアクセスする可能性があることも示しています。彼らは、コンピューターのUEFIファームウェアにアクセスしてそこから実行される永続的なランサムウェアさえも実証しました。

業界は、これらの問題や将来の同様の欠陥から保護するために、他のソフトウェアと同様にすべてのコンピューターのUEFIファームウェアを更新する必要があります。

関連する： お使いのPCまたは携帯電話がメルトダウンおよびスペクターから保護されているかどうかを確認する方法

更新プロセスが何年もの間壊れている方法

BIOS更新プロセスは混乱している永遠に-UEFIよりずっと前から。伝統的に、コンピューターはその古い学校のBIOSを搭載して出荷されていたため、問題が少なくなる可能性がありました。 PCメーカーは、マイナーな問題を修正するためにいくつかのBIOSアップデートを出荷する場合がありますが、通常のアドバイスは、PCが正常に動作している場合はインストールしないことです。多くの場合、BIOSアップデートをフラッシュするために起動可能なDOSドライブから起動する必要があり、誰もがBIOSアップデートの失敗とブリックPCの話を聞き、それらを起動不能にしました。

世の中変わったんだよ。 UEFIファームウェアはさらに多くのことを行い、Intelは過去数年間でCPUマイクロコードやIntel MEなどの大きなアップデートをいくつかリリースしました。 Intelがそのようなアップデートをリリースするときはいつでも、Intelができることは「コンピュータの製造元に問い合わせてください」ということだけです。版。その後、ファームウェアをテストする必要があります。ああ、各メーカーは販売する個々のPCごとにこのプロセスを繰り返す必要があります。すべてのUEFIファームウェアが異なるからです。これは、過去にAndroid搭載端末を更新するのが非常に困難だった種類の手作業です。

実際には、これはしばしば時間がかかることを意味しますUEFIを介して配信する必要がある重要なセキュリティ更新プログラムを取得するために、数か月間かかります。つまり、メーカーは数年前のPCを更新することを拒否する可能性があります。また、メーカーがアップデートをリリースした場合でも、それらのアップデートはそのメーカーのサポートWebサイトに埋もれていることがよくあります。ほとんどのPCユーザーは、これらのUEFIファームウェアの更新が存在することを発見してインストールすることはないため、これらのバグは長い間既存のPCに存在し続けます。また、一部のメーカーでは、DOSを最初に起動してファームウェアの更新をインストールするようにしていますが、これはさらに複雑にするためです。

それについて人々がしていること

それは混乱です。 メーカーが新しいUEFIファームウェアアップデートをより簡単に作成できる、合理化されたプロセスが必要です。また、ユーザーがPCに自動的にインストールできるように、これらの更新プログラムをリリースするためのより良いプロセスが必要です。現在、プロセスは低速で手動です。高速かつ自動である必要があります。

それが、MicrosoftがProject Muでやろうとしていることです。公式文書で説明されている方法は次のとおりです。

Project Muは、PCメーカーの支援に関するものですUEFI開発プロセスを合理化し、全員が協力して作業できるようにすることで、UEFIの更新をより迅速に作成およびテストします。マイクロソフトが既にPCメーカーがUEFIファームウェアの更新をユーザーに自動的に送信することを容易にしているため、これが行方不明の部分であることを願っています。

具体的には、MicrosoftはPCメーカーにWindows Updateを通じてファームウェアの更新を発行し、少なくとも2017年以降、これに関するドキュメントを提供しています。Microsoftはコンポーネントファームウェアの更新も発表しました。メーカーが2018年10月にUEFIおよびその他のファームウェアを更新するために使用できるオープンソースモデル。PCメーカーがこれに参加すれば、ファームウェアの更新をすべてのユーザーに非常に迅速に配信できます。

これもWindowsだけのものではありません。 Linuxでは、PCメーカーがLinux Vendor Firmware ServiceであるLVFSを使用してUEFIアップデートを簡単に発行できるように開発者が努力しています。 PCベンダーは更新を送信することができ、Ubuntuや他の多くのLinuxディストリビューションで使用されるGNOMEソフトウェアアプリケーションにダウンロード用に表示されます。この取り組みは2015年にさかのぼります。DellやLenovoなどのPCメーカーが参加しています。

WindowsおよびLinux向けのこれらのソリューションは、より多くの影響を与えますUEFIの更新だけではありません。ハードウェアメーカーは、それらを使用して、将来的にUSBマウスファームウェアからソリッドステートドライブファームウェアまですべてを更新することができます。

SwiftOnSecurityがソリッドステートドライブのファームウェアと暗号化の問題について話しているときに述べたように、ファームウェアの更新は信頼性があります。ハードウェアメーカーに期待する必要があります。

ファームウェアの更新は信頼できます。私は少なくとも3,000のDell BIOS更新を開始しましたが、1つの障害があり、その古いPCは既に障害に備えて稼働していました。

あなたが不可能だと思うことを再考してください。ファームウェアのサービスは不可能でも危険でもありません。それは人々がより良く要求することを必要とします。

— SwiftOnSecurity（@SwiftOnSecurity）2018年11月6日