Por que o firmware UEFI do seu PC precisa de atualizações de segurança

A Microsoft acaba de anunciar o Projeto Mu, prometendo “firmware como um serviço” em hardware suportado. Todo fabricante de PCs deve tomar nota. Os PCs precisam de atualizações de segurança para o firmware UEFI, e os fabricantes de PCs fizeram um trabalho ruim ao entregá-los.

O que é o Firmware UEFI?

PCs modernos usam firmware UEFI em vez de um BIOS tradicional. O firmware UEFI é o software de baixo nível que inicia quando você inicializa o seu PC. Ele testa e inicializa seu hardware, faz algumas configurações de sistema de baixo nível e inicializa um sistema operacional a partir da unidade interna do computador ou de outro dispositivo de inicialização.

No entanto, o UEFI é um pouco mais complicado que o BIOS antigo Programas. Por exemplo, computadores com processadores Intel têm algo chamado Intel Management Engine, que é basicamente um minúsculo sistema operacional. Ele é executado em paralelo com o Windows, o Linux ou qualquer sistema operacional que você esteja executando no seu computador. Em redes corporativas, os administradores de sistema podem usar os recursos do Intel ME para gerenciar remotamente seus computadores.

O UEFI também contém o “microcódigo” do processador, que é como o firmware do processador. Quando o computador é inicializado, ele carrega o microcódigo do firmware UEFI. Pense nisso como um intérprete que traduz instruções de software para instruções de hardware executadas na CPU.

RELACIONADO: O que é UEFI e como ele é diferente da BIOS?

Por que as necessidades de firmware da UEFI Atualizações de segurança

Os últimos anos mostraram repetidamente por que o firmware UEFI precisa de atualizações de segurança oportunas.

Todos nós aprendemos sobre o Spectre em 2018, mostrando os sérios problemas arquitetônicos com CPUs modernas. Problemas com algo chamado "execução especulativa" significavam que programas poderiam escapar de restrições de segurança padrão e ler áreas seguras de memória. Correções no Spectre exigiam atualizações de microcódigo da CPU para funcionar corretamente. Isso significa que os fabricantes de PCs precisavam atualizar todos os seus PCs de laptop e desktop - e os fabricantes de placas-mãe precisavam atualizar todas as suas placas-mãe - com o novo firmware UEFI contendo o microcódigo atualizado. Seu PC não está adequadamente protegido contra o Specter, a menos que você tenha instalado uma atualização de firmware UEFI. A AMD também lançou atualizações de microcódigo para proteger sistemas com processadores AMD contra ataques de Specter, então isso não é apenas uma coisa da Intel.

O Mecanismo de Gerenciamento da Intel viu alguns bugs de segurança que podem permitir que invasores tenham acesso local ao sistema. crackear o software do mecanismo de gerenciamento ou permitir que um invasor com acesso remoto cause problemas. Felizmente, as explorações remotas afetaram apenas as empresas que tinham ativado a tecnologia Intel Active Management (AMT), de modo que os consumidores médios não foram afetados.

Esses são apenas alguns exemplos. Pesquisadores também demonstraram que é possível abusar do firmware UEFI em alguns PCs, usando-o para obter acesso profundo ao sistema. Eles até demonstraram ransomware persistente que obteve acesso ao firmware UEFI de um computador e foi executado a partir daí.

O setor deve atualizar o firmware UEFI de todos os computadores como qualquer outro software para ajudar a proteger contra esses problemas e falhas semelhantes no futuro.

RELACIONADO: Como verificar se o seu PC ou telefone está protegido contra o colapso e o espectro

Como o processo de atualização foi quebrado durante anos

O processo de atualização do BIOS tem sido uma bagunça para sempre - desde muito antes do UEFI. Tradicionalmente, os computadores eram fornecidos com esse BIOS antigo e menos poderiam dar errado. Os fabricantes de PCs podem enviar algumas atualizações de BIOS para corrigir pequenos problemas, mas o conselho usual é evitar instalá-los se o seu PC estiver funcionando corretamente. Muitas vezes, você tinha que inicializar a partir de uma unidade DOS inicializável para atualizar a atualização do BIOS, e todos ouviram histórias de falhas na atualização do BIOS e de PCs em execução, tornando-os não inicializáveis.

As coisas mudaram. O firmware da UEFI faz muito mais, e a Intel lançou várias grandes atualizações para coisas como o microcódigo da CPU e o Intel ME nos últimos anos. Sempre que a Intel divulga essa atualização, tudo o que a Intel pode fazer é dizer “pergunte ao fabricante do seu computador”. O fabricante do seu computador - ou o fabricante da placa-mãe, se você construiu seu próprio PC - precisa pegar o código da Intel e integrá-lo a um novo firmware UEFI. versão. Eles então têm que testar o firmware. Ah, e cada fabricante precisa repetir esse processo para cada PC individual que eles vendem, pois todos eles têm um firmware UEFI diferente. É o tipo de trabalho manual que tornou os telefones Android difíceis de atualizar no passado.

Na prática, isso significa que geralmente leva muito tempo - muitos meses - para obter atualizações de segurança críticas que precisam ser entregues via UEFI. Isso significa que os fabricantes podem encolher os ombros e se recusar a atualizar os PCs com apenas alguns anos de uso. E, mesmo quando os fabricantes lançam atualizações, essas atualizações costumam estar no site de suporte do fabricante. A maioria dos usuários de PC nunca descobrirá essas atualizações de firmware da UEFI e as instalará, de modo que esses bugs acabam se instalando nos PCs existentes por muito tempo. E alguns fabricantes ainda fazem com que você instale atualizações de firmware inicializando o DOS primeiro, para torná-lo ainda mais complicado.

O que as pessoas estão fazendo sobre isso

Isso é uma bagunça. Precisamos de um processo simplificado em que os fabricantes possam criar mais facilmente novas atualizações de firmware UEFI. Também precisamos de um processo melhor para liberar essas atualizações, para que os usuários possam instalá-las automaticamente em seus PCs. No momento, o processo é lento e manual. Ele deve ser rápido e automático.

Isso é o que a Microsoft está tentando fazer com o Projeto Mu. Veja como a documentação oficial explica:

Mu é construído com base na ideia de que enviar e manter um produto UEFI é uma colaboração contínua entre vários parceiros. Por muito tempo, a indústria construiu produtos usando um modelo "bifurcado" combinado com copiar / colar / renomear e com cada novo produto a carga de manutenção cresce a um nível tal que as atualizações são quase impossíveis devido a custos e riscos. / _BQ]

O projeto Mu trata de ajudar os fabricantes de PCs a criar e testar atualizações UEFI mais rapidamente, agilizando o processo de desenvolvimento da UEFI e ajudando todos a trabalhar juntos. Espero que esta seja a peça que faltava, pois a Microsoft já facilitou para os fabricantes de PC enviar automaticamente as atualizações de firmware UEFI aos usuários.

Especificamente, a Microsoft permite que os fabricantes de PCs emitam atualizações de firmware através do Windows Update e documentação sobre isso desde pelo menos 2017. A Microsoft também anunciou o Component Firmware Update; um modelo de código aberto que os fabricantes podem usar para atualizar o UEFI e outros firmwares, em outubro de 2018. Se os fabricantes de PCs aceitarem isso, eles poderão fornecer atualizações de firmware para todos os usuários muito rapidamente.

não é apenas uma coisa do Windows. No Linux, os desenvolvedores estão tentando tornar mais fácil para os fabricantes de PCs lançarem atualizações UEFI com o LVFS, o Serviço de Firmware do Fornecedor Linux. Os fornecedores de PCs podem enviar suas atualizações, e elas aparecerão para download no aplicativo GNOME Software, que é usado no Ubuntu e em muitas outras distribuições do Linux. Esse esforço remonta a 2015. Fabricantes de PCs como Dell e Lenovo estão participando.

Essas soluções para o Windows e o Linux também afetam mais do que apenas atualizações UEFI. Os fabricantes de hardware podem usá-los para atualizar tudo, desde firmware de mouse USB a firmware de unidade de estado sólido no futuro.

Como o SwiftOnSecurity fala sobre os problemas com firmware e criptografia de unidade de estado sólido, atualizações de firmware podem Ser confiável. Precisamos esperar melhor dos fabricantes de hardware.

As atualizações de firmware podem ser confiáveis. Eu iniciei pelo menos 3.000 atualizações do BIOS da Dell com apenas uma falha, e esse antigo PC já estava em serviço para falhar.

Repense o que você acha que é impossível. A manutenção de firmware não é impossível ou arriscada. Isso exige que as pessoas exijam melhor.

— SwiftOnSecurity (@SwiftOnSecurity) 6 de novembro de 2018

Crédito da imagem: Intel, Natascha Eibl, kubais / Shutterstock.com.

Via: How to Geek