Microsoft meddelade just Project Mu, lovande"Firmware som en tjänst" på stöds hårdvara. Varje datortillverkare bör notera. Datorer behöver säkerhetsuppdateringar till UEFI-firmware och PC-tillverkare har gjort ett dåligt jobb med att leverera dem.
Vad är UEFI-firmware?
Moderna datorer använder UEFI-firmware istället för entraditionell BIOS. UEFI-firmware är den låga nivån som startar när du startar din dator. Den testar och initierar din hårdvara, gör lite systemkonfiguration på låg nivå och startar sedan upp ett operativsystem från din dators interna enhet eller en annan startenhet.
UEFI är dock lite mer komplicerat änden äldre BIOS-programvaran. Till exempel har datorer med Intel-processorer något som kallas Intel Management Engine, som i princip är ett litet operativsystem. Det körs parallellt med Windows, Linux eller vilket operativsystem du kör på din dator. I företagsnätverk kan systemadministratörer använda funktioner i Intel ME för att fjärrhantera sina datorer.
UEFI innehåller också processorns ”mikrokod”, vilkenär typ av firmware för din processor. När din dator startar laddar den mikrokoden från UEFI-firmware. Tänk på det som en tolk som översätter programvaruinstruktioner till maskinvaruinstruktioner som utförs på CPU: n.
RELATERAD: Vad är UEFI och hur skiljer det sig från BIOS?
Varför UEFI-firmware behöver säkerhetsuppdateringar
De senaste åren har om och om igen visat varför UEFI-firmware behöver aktuella säkerhetsuppdateringar.
Vi lärde oss alla om Spectre under 2018 och visarallvarliga arkitektoniska problem med moderna CPU: er. Problem med något som kallas “spekulativ exekvering” innebar att program kunde undkomma standard säkerhetsbegränsningar och läsa säkra minnesområden. Fixar till Specter kräver CPU-mikrokoduppdateringar för att fungera korrekt. Det innebär att PC-tillverkare måste uppdatera alla sina bärbara och stationära datorer - och moderkortstillverkare var tvungna att uppdatera alla sina moderkort - med ny UEFI-firmware som innehåller den uppdaterade mikrokoden. Din dator är inte tillräckligt skyddad mot Specter om du inte har installerat en UEFI-firmwareuppdatering. AMD släppte också mikrokoduppdateringar för att skydda system med AMD-processorer från Specter-attacker, så detta är inte bara en Intel-sak.
Intels Management Engine har sett viss säkerhetbuggar som antingen kan låta angripare med lokal åtkomst till datorn knäcka programvaran Management Engine eller låta en angripare med fjärråtkomst orsaka problem. Lyckligtvis påverkade fjärrutnyttjanden endast företag som hade aktiverat Intel Active Management Technology (AMT), så genomsnittliga konsumenter påverkades inte.
Det här är bara några exempel. Forskare har också visat att det är möjligt att missbruka UEFI-firmware på vissa datorer och använda den för att få djup tillgång till systemet. De har till och med visat ihållande ransomware som fick tillgång till en dators UEFI-firmware och sprang därifrån.
Branschen bör uppdatera varje dators UEFI-firmware precis som all annan programvara för att skydda mot dessa problem och liknande brister i framtiden.
RELATERAD: Hur du kontrollerar om din dator eller telefon är skyddad mot smältning och spektrum
Hur uppdateringsprocessen har brutit i flera år
BIOS-uppdateringsprocessen har varit en röraför evigt - sedan länge innan UEFI. Traditionellt levererades datorer med BIOS i gamla skolan och mindre kunde gå fel. PC-tillverkare kanske levererar några BIOS-uppdateringar för att fixa mindre problem, men det vanliga rådet var att undvika att installera dem om din dator fungerade korrekt. Du var ofta tvungen att starta från en startbar DOS-enhet för att flasha BIOS-uppdateringen, och alla hörde berättelser om BIOS-uppdateringar som misslyckades och murade datorer, vilket gjorde dem obotabla.
Saker har förändrats. UEFI-firmware gör mycket mer, och Intel har släppt flera stora uppdateringar till saker som CPU-mikrokod och Intel ME under de senaste åren. När Intel släpper en sådan uppdatering kan allt Intel säga ”fråga din datortillverkare.” Din datortillverkare - eller moderkortstillverkaren, om du har byggt din egen dator - måste ta koden från Intel och integrera den i en ny UEFI-firmware version. De måste sedan testa firmware. Åh, och varje tillverkare måste upprepa denna process för varje enskild dator de säljer, eftersom de alla har olika UEFI-firmware. Det är den typen av manuellt arbete som gjorde Android-telefoner så svåra att uppdatera tidigare.
I praktiken betyder det att det ofta tar lång tidtid — många månader — för att få kritiska säkerhetsuppdateringar som måste levereras via UEFI. Det betyder att tillverkare kan rycka upp och vägra att uppdatera datorer som bara är några år gamla. Och även när tillverkarna släpper uppdateringar, begravs dessa uppdateringar ofta på tillverkarens supportwebbplats. De flesta PC-användare kommer aldrig att upptäcka att UEFI-firmwareuppdateringarna finns och installerar dem, så dessa buggar slutar lever på befintliga datorer under lång tid. Och vissa tillverkare gör att du fortfarande installerar firmware-uppdateringar genom att starta först i DOS - bara för att göra det extra komplicerat.
Vad folk gör åt det
Det är en röra. Vi behöver en strömlinjeformad process där tillverkare lättare kan skapa nya UEFI-firmwareuppdateringar. Vi behöver också en bättre process för att släppa dessa uppdateringar, så att användare kan få dem automatiskt installerade på sina datorer. Just nu är processen långsam och manuell - den ska vara snabb och automatisk.
Det är vad Microsoft försöker göra med Project Mu. Så här förklarar den officiella dokumentationen det:
Mu är byggd kring idén att frakt ochatt upprätthålla en UEFI-produkt är ett pågående samarbete mellan många partners. För länge har industrin byggt produkter med en ”forking” -modell i kombination med kopiera / klistra in / byta namn och med varje ny produkt växer underhållsbelastningen till en sådan nivå att uppdateringar är nästan omöjliga på grund av kostnader och risk.
Project Mu handlar om att hjälpa PC-tillverkareskapa och testa UEFI-uppdateringar snabbare genom att effektivisera UEFI-utvecklingsprocessen och hjälpa alla att arbeta tillsammans. Förhoppningsvis är detta det saknade, eftersom Microsoft redan har gjort det lättare för PC-tillverkare att skicka sina UEFI-firmwareuppdateringar automatiskt till användare.
Specifikt låter Microsoft datortillverkareutfärda uppdateringar av firmware via Windows Update och har lämnat dokumentation om detta sedan minst 2017. Microsoft meddelade också Component Firmware Update; en öppen källkodsmodell som tillverkarna kan använda för att uppdatera UEFI och annan firmware, redan i oktober 2018. Om PC-tillverkare kommer ombord med detta kan de leverera firmware-uppdateringar till alla sina användare mycket snabbt.
Det här är inte bara en Windows-sak. Över på Linux försöker utvecklare att underlätta för PC-tillverkare att utfärda UEFI-uppdateringar med LVFS, Linux Vendor Firmware Service. PC-leverantörer kan skicka in sina uppdateringar och de visas för nedladdning i GNOME-programvaran, som används på Ubuntu och många andra Linux-distributioner. Denna ansträngning går tillbaka till 2015. PC-tillverkare som Dell och Lenovo deltar.
Dessa lösningar för Windows och Linux påverkar merän bara UEFI-uppdateringar också. Hårdvarutillverkare kan använda dem för att uppdatera allt från USB-musfasta programvara till solid-state drive firmware i framtiden.
Som SwiftOnSecurity uttryckte det när man talar om problemen med firmware och kryptering med solid state-enhet kan firmwareuppdateringar vara tillförlitliga. Vi måste förvänta oss bättre av hårdvarutillverkare.
Firmware-uppdateringar kan vara tillförlitliga. Jag har initierat minst 3 000 Dell BIOS-uppdateringar med bara ett fel, och den gamla datorn var redan i tjänst för att ha misslyckats.
Tänk om vad du tycker är omöjligt. Service av firmware är inte omöjligt eller riskabelt. Det kräver att människor kräver bättre.
- SwiftOnSecurity (@SwiftOnSecurity) 6 november 2018
