Microsoft ha appena annunciato Progetto Mu, promettendo “firmware come servizio” sull’hardware supportato. Ogni produttore di PC dovrebbe prenderne atto. I PC necessitano di aggiornamenti di sicurezza per il firmware UEFI e i produttori di PC hanno svolto un lavoro mediocre nel fornirli.
Sommario:
Che cos’è il firmware UEFI?
I PC moderni utilizzano il firmware UEFI invece di un BIOS tradizionale. Il firmware UEFI è il software di basso livello che si avvia all’avvio del PC. Verifica e inizializza l’hardware, esegue una configurazione di sistema di basso livello e quindi avvia un sistema operativo dall’unità interna del computer o da un altro dispositivo di avvio.
Tuttavia, UEFI è un po ‘più complicato del vecchio software BIOS. Ad esempio, i computer con processori Intel hanno qualcosa chiamato Intel Management Engine, che è fondamentalmente un piccolo sistema operativo. Funziona in parallelo a Windows, Linux o qualsiasi sistema operativo in esecuzione sul tuo computer. Sulle reti aziendali, gli amministratori di sistema possono utilizzare le funzionalità di Intel ME per gestire in remoto i propri computer.
UEFI contiene anche il “microcodice” del processore, che è un po ‘come il firmware per il tuo processore. Quando il computer si avvia, carica il microcodice dal firmware UEFI. Pensalo come un interprete che traduce le istruzioni del software in istruzioni hardware eseguite sulla CPU.
Perché il firmware UEFI necessita di aggiornamenti di sicurezza
Gli ultimi anni hanno dimostrato più e più volte perché il firmware UEFI necessita di aggiornamenti di sicurezza tempestivi.
Abbiamo tutti imparato a conoscere Spectre nel 2018, che mostra i gravi problemi architettonici con le moderne CPU. Problemi con qualcosa chiamato “esecuzione speculativa” significava che i programmi potevano sfuggire alle restrizioni di sicurezza standard e leggere aree protette della memoria. Le correzioni a Spectre richiedevano aggiornamenti del microcodice della CPU per funzionare correttamente. Ciò significa che i produttori di PC dovevano aggiornare tutti i loro laptop e PC desktop e i produttori di schede madri dovevano aggiornare tutte le loro schede madri con il nuovo firmware UEFI contenente il microcodice aggiornato. Il tuo PC non è adeguatamente protetto contro Spectre a meno che tu non abbia installato un aggiornamento del firmware UEFI. AMD ha anche rilasciato aggiornamenti del microcodice per proteggere i sistemi con processori AMD dagli attacchi Spectre, quindi questa non è solo una cosa Intel.
Il Management Engine di Intel ne ha visti alcuni bug di sicurezza ciò potrebbe consentire agli aggressori con accesso locale al computer di violare il software Management Engine o consentire a un utente malintenzionato con accesso remoto di causare problemi. Fortunatamente, gli exploit remoti hanno interessato solo le aziende che avevano abilitato Intel Active Management Technology (AMT), quindi i consumatori medi non sono stati interessati.
Questi sono solo alcuni esempi. I ricercatori hanno anche dimostrato che è possibile abusare del firmware UEFI su alcuni PC, utilizzandolo per ottenere un accesso profondo al sistema. Hanno anche dimostrato ransomware persistente che ha ottenuto l’accesso al firmware UEFI di un computer ed è stato eseguito da lì.
L’industria dovrebbe aggiornare il firmware UEFI di ogni computer proprio come qualsiasi altro software per proteggere da questi problemi e difetti simili in futuro.
Come il processo di aggiornamento è stato interrotto per anni
Il processo di aggiornamento del BIOS è stato un disastro per sempre, da molto prima di UEFI. Tradizionalmente, i computer venivano forniti con quel BIOS della vecchia scuola e meno potevano andare storto. I produttori di PC potrebbero fornire alcuni aggiornamenti del BIOS per risolvere problemi minori, ma il solito consiglio era di evitare di installarli se il PC funzionava correttamente. Spesso era necessario eseguire l’avvio da un’unità DOS avviabile per eseguire il flashing dell’aggiornamento del BIOS e tutti hanno sentito storie di aggiornamenti del BIOS che non riuscivano e hanno bloccato i PC, rendendoli non avviabili.
Le cose sono cambiate. Il firmware UEFI fa molto di più e Intel ha rilasciato diversi grandi aggiornamenti a cose come il microcodice della CPU e Intel ME negli ultimi anni. Ogni volta che Intel rilascia un aggiornamento di questo tipo, tutto ciò che Intel può fare è dire “chiedi al produttore del computer”. Il produttore del computer, o il produttore della scheda madre, se hai costruito il tuo PC, deve prendere il codice da Intel e integrarlo in una nuova versione del firmware UEFI. Quindi devono testare il firmware. Oh, e ogni produttore deve ripetere questo processo per ogni singolo PC che vende, poiché hanno tutti un firmware UEFI diverso. È il tipo di lavoro manuale che ha reso i telefoni Android così difficili da aggiornare in passato.
In pratica, ciò significa che spesso è necessario molto tempo, molti mesi, per ottenere aggiornamenti di sicurezza critici che devono essere forniti tramite UEFI. Significa che i produttori potrebbero alzare le spalle e rifiutarsi di aggiornare i PC che hanno solo pochi anni. E, anche quando i produttori rilasciano aggiornamenti, tali aggiornamenti sono spesso nascosti nel sito Web di supporto del produttore. La maggior parte degli utenti di PC non scoprirà mai l’esistenza di quegli aggiornamenti del firmware UEFI e li installerà, quindi questi bug finiscono per sopravvivere nei PC esistenti per molto tempo. E alcuni produttori ancora ti fanno installare gli aggiornamenti del firmware avviando prima in DOS, solo per renderlo ancora più complicato.
Cosa stanno facendo le persone al riguardo
È un casino. Abbiamo bisogno di un processo semplificato in cui i produttori possano creare più facilmente nuovi aggiornamenti del firmware UEFI. Abbiamo anche bisogno di un processo migliore per rilasciare questi aggiornamenti, in modo che gli utenti possano installarli automaticamente sui loro PC. In questo momento il processo è lento e manuale, dovrebbe essere veloce e automatico.
Questo è ciò che Microsoft sta cercando di fare con Project Mu. Ecco come il file documentazione ufficiale lo spiega:
Mu si basa sull’idea che la spedizione e la manutenzione di un prodotto UEFI sia una collaborazione continua tra numerosi partner. Per troppo tempo l’industria ha costruito prodotti utilizzando un modello di “fork” combinato con copia / incolla / rinomina e con ogni nuovo prodotto il carico di manutenzione cresce a un livello tale che gli aggiornamenti sono quasi impossibili a causa dei costi e dei rischi.
L’obiettivo di Project Mu è aiutare i produttori di PC a creare e testare più rapidamente gli aggiornamenti UEFI semplificando il processo di sviluppo UEFI e aiutando tutti a lavorare insieme. Si spera che questo sia il pezzo mancante, poiché Microsoft ha già reso più semplice per i produttori di PC inviare automaticamente gli aggiornamenti del firmware UEFI agli utenti.
In particolare, Microsoft consente ai produttori di PC rilasciare aggiornamenti del firmware tramite Windows Update e ha fornito documentazione su questo almeno dal 2017. Microsoft ha anche annunciato Aggiornamento del firmware dei componenti; un modello open source che i produttori possono utilizzare per aggiornare UEFI e altri firmware, nell’ottobre 2018. Se i produttori di PC lo accettano, potrebbero fornire aggiornamenti del firmware a tutti i loro utenti molto rapidamente.
Anche questa non è solo una cosa di Windows. Su Linux, gli sviluppatori stanno cercando di rendere più facile per i produttori di PC emettere aggiornamenti UEFI LVFS, il servizio firmware del fornitore Linux. I fornitori di PC possono inviare i loro aggiornamenti e appariranno per il download nell’applicazione software GNOME, che viene utilizzata su Ubuntu e molte altre distribuzioni Linux. Questo sforzo risale al 2015. Ai produttori di PC piace Dell e Lenovo stanno partecipando.
Queste soluzioni per Windows e Linux influenzano anche più dei semplici aggiornamenti UEFI. I produttori di hardware potrebbero usarli per aggiornare qualsiasi cosa, dal firmware del mouse USB al firmware dell’unità a stato solido in futuro.
Come SwiftOnSecurity Mettilo quando parli dei problemi con il firmware e la crittografia dell’unità a stato solido, gli aggiornamenti del firmware possono essere affidabili. Dobbiamo aspettarci di meglio dai produttori di hardware.
Gli aggiornamenti del firmware possono essere affidabili. Ho avviato almeno 3.000 aggiornamenti del BIOS Dell con un solo errore e quel vecchio PC era già in servizio per guasto.
Ripensa a ciò che pensi sia impossibile. La manutenzione del firmware non è impossibile o rischiosa. Richiede che le persone chiedano di meglio.
– SwiftOnSecurity (@SwiftOnSecurity) 6 novembre 2018
Credito immagine: Intel, Natascha Eibl, kubais/Shutterstock.com.