Tại sao phần mềm UEFI của PC của bạn cần cập nhật bảo mật

Microsoft vừa công bố Project Mu, hứa hẹn firmware firmware là dịch vụ trên phần cứng được hỗ trợ. Mỗi nhà sản xuất PC nên lưu ý. PC cần cập nhật bảo mật cho phần sụn UEFI của họ và các nhà sản xuất PC đã làm rất tốt việc cung cấp chúng.

Phần mềm UEFI là gì?

Các PC hiện đại sử dụng phần mềm UEFI thay vì BIOS truyền thống. Phần sụn UEFI là phần mềm cấp thấp khởi động khi bạn khởi động PC. Nó kiểm tra và khởi tạo phần cứng của bạn, thực hiện một số cấu hình hệ thống cấp thấp và sau đó khởi động hệ điều hành từ ổ đĩa trong của máy tính hoặc thiết bị khởi động khác.

Tuy nhiên, UEFI phức tạp hơn một chút so với phần mềm BIOS cũ. Ví dụ, các máy tính có bộ xử lý Intel có một thứ gọi là Intel Management Engine, về cơ bản là một hệ điều hành nhỏ. Nó chạy song song với Windows, Linux hoặc bất kỳ hệ điều hành nào bạn đang chạy trên máy tính của mình. Trên các mạng công ty, quản trị viên hệ thống có thể sử dụng các tính năng trong Intel ME để quản lý máy tính của họ từ xa.

UEFI cũng chứa bộ vi xử lý, bộ vi xử lý, bộ xử lý giống như bộ vi xử lý cho bộ xử lý của bạn. Khi máy tính của bạn khởi động, nó sẽ tải microcode từ phần sụn UEFI. Hãy nghĩ về nó giống như một trình thông dịch dịch các hướng dẫn phần mềm sang các hướng dẫn phần cứng được thực hiện trên CPU.

Tại sao phần mềm UEFI cần cập nhật bảo mật

Vài năm gần đây đã chỉ ra nhiều lần lý do tại sao phần mềm UEFI cần cập nhật bảo mật kịp thời.

Tất cả chúng ta đã học về Spectre năm 2018, cho thấy các vấn đề kiến ​​trúc nghiêm trọng với CPU hiện đại. Các sự cố xảy ra với một thứ gọi là thực thi đầu cơ, có nghĩa là các chương trình có thể thoát khỏi các hạn chế bảo mật tiêu chuẩn và đọc các vùng an toàn của bộ nhớ. Sửa lỗi để cập nhật vi mã CPU yêu cầu để hoạt động chính xác. Điều đó có nghĩa là các nhà sản xuất PC phải cập nhật tất cả máy tính xách tay và máy tính để bàn của họ - và các nhà sản xuất bo mạch chủ phải cập nhật tất cả các bo mạch chủ của họ - với phần sụn UEFI mới có chứa vi mã được cập nhật. PC của bạn không được bảo vệ đầy đủ trước Spectre trừ khi bạn đã cài đặt bản cập nhật firmware UEFI. AMD cũng phát hành bản cập nhật vi mã để bảo vệ các hệ thống có bộ xử lý AMD khỏi các cuộc tấn công của Spectre, vì vậy đây không chỉ là một điều của Intel.

Công cụ quản lý của Intel đã thấy một số lỗi bảo mật có thể cho phép kẻ tấn công truy cập cục bộ vào máy tính bẻ khóa phần mềm Công cụ quản lý hoặc để kẻ tấn công có quyền truy cập từ xa gây rắc rối. May mắn thay, việc khai thác từ xa chỉ ảnh hưởng đến các doanh nghiệp đã kích hoạt Công nghệ quản lý hoạt động Intel (AMT), vì vậy người tiêu dùng trung bình không bị ảnh hưởng.

Đây chỉ là vài ví dụ. Các nhà nghiên cứu cũng đã chứng minh rằng có thể lạm dụng phần mềm UEFI trên một số PC, sử dụng nó để có quyền truy cập sâu vào hệ thống. Họ thậm chí đã chứng minh phần mềm ransomware liên tục có được quyền truy cập vào phần mềm UEFI của máy tính và chạy từ đó.

Ngành công nghiệp nên cập nhật chương trình cơ sở UEFI của mọi máy tính giống như bất kỳ phần mềm nào khác để giúp bảo vệ chống lại các sự cố này và các lỗi tương tự trong tương lai.

Quá trình cập nhật đã bị hỏng trong nhiều năm như thế nào

Quá trình cập nhật BIOS đã là một mớ hỗn độn mãi mãi - từ rất lâu trước UEFI. Theo truyền thống, các máy tính được vận chuyển với BIOS trường học cũ đó và ít có thể gặp trục trặc. Các nhà sản xuất PC có thể gửi một vài bản cập nhật BIOS để khắc phục các sự cố nhỏ, nhưng lời khuyên thông thường là tránh cài đặt chúng nếu PC của bạn hoạt động tốt. Bạn thường phải khởi động từ ổ đĩa DOS có khả năng khởi động để flash cập nhật BIOS và mọi người đều nghe những câu chuyện về các bản cập nhật BIOS bị lỗi và làm hỏng PC, khiến chúng không thể khởi động được.

Mọi thứ đã thay đổi. Phần mềm UEFI còn làm được nhiều hơn thế và Intel đã phát hành một số bản cập nhật lớn cho những thứ như CPU ​​microcode và Intel ME trong vài năm qua. Bất cứ khi nào Intel phát hành bản cập nhật như vậy, tất cả những gì Intel có thể làm là nói, hãy hỏi nhà sản xuất máy tính của bạn. phiên bản. Sau đó, họ phải kiểm tra phần sụn. Ồ, và mỗi nhà sản xuất phải lặp lại quy trình này cho mỗi PC riêng lẻ mà họ bán, vì tất cả họ đều có phần mềm UEFI khác nhau. Đây là loại công việc thủ công khiến điện thoại Android rất khó cập nhật trong quá khứ.

Trong thực tế, điều này có nghĩa là thường mất nhiều thời gian - nhiều tháng - để có được các cập nhật bảo mật quan trọng phải được gửi qua UEFI. Điều đó có nghĩa là các nhà sản xuất có thể nhún vai và từ chối cập nhật các PC mới chỉ vài năm tuổi. Và, ngay cả khi các nhà sản xuất thực hiện cập nhật phát hành, những cập nhật đó thường bị chôn vùi trên trang web hỗ trợ của nhà sản xuất đó. Hầu hết người dùng PC sẽ không bao giờ phát hiện ra các bản cập nhật firmware UEFI đó và cài đặt chúng, vì vậy những lỗi này tồn tại rất lâu trong các PC hiện có. Và một số nhà sản xuất vẫn bắt bạn cài đặt các bản cập nhật firmware bằng cách khởi động vào DOS trước - chỉ để làm cho nó thêm phức tạp.

Mọi người đang làm gì về nó

Đó là một mớ hỗn độn. Chúng tôi cần một quy trình hợp lý, nơi các nhà sản xuất có thể dễ dàng tạo các bản cập nhật firmware UEFI mới hơn. Chúng tôi cũng cần một quy trình tốt hơn để phát hành các bản cập nhật đó, vì vậy người dùng có thể tự động cài đặt chúng trên PC của họ. Ngay bây giờ quá trình này chậm và thủ công - nó phải nhanh và tự động.

Đó là những gì Microsoft đang cố gắng thực hiện với Project Mu. Đây là cách tài liệu chính thức giải thích nó:

Mu được xây dựng xung quanh ý tưởng rằng vận chuyển và bảo trì một sản phẩm UEFI là sự hợp tác liên tục giữa nhiều đối tác. Trong một thời gian dài, ngành công nghiệp đã xây dựng các sản phẩm bằng cách sử dụng mô hình của forking, kết hợp với sao chép / dán / đổi tên và với mỗi sản phẩm mới, gánh nặng bảo trì tăng lên đến mức không thể cập nhật do chi phí và rủi ro.

Project Mu là tất cả về việc giúp các nhà sản xuất PC tạo và kiểm tra các bản cập nhật UEFI nhanh hơn bằng cách hợp lý hóa quy trình phát triển UEFI và giúp mọi người làm việc cùng nhau. Hy vọng, đây là phần còn thiếu, vì Microsoft đã giúp các nhà sản xuất PC dễ dàng gửi bản cập nhật firmware UEFI của họ tới người dùng hơn.

Cụ thể, Microsoft cho phép các nhà sản xuất PC phát hành bản cập nhật chương trình cơ sở thông qua Windows Update và đã cung cấp tài liệu về vấn đề này kể từ ít nhất 2017. Microsoft cũng đã công bố Cập nhật chương trình cơ sở; một mô hình nguồn mở mà các nhà sản xuất có thể sử dụng để cập nhật UEFI và phần sụn khác, trở lại vào tháng 10 năm 2018. Nếu các nhà sản xuất PC bắt đầu với điều này, họ có thể cung cấp các bản cập nhật firmware cho tất cả người dùng của họ rất nhanh.

Đây cũng không chỉ là một thứ Windows. Trên Linux, các nhà phát triển đang cố gắng giúp các nhà sản xuất PC dễ dàng phát hành các bản cập nhật UEFI với LVFS, Dịch vụ phần mềm nhà cung cấp Linux. Các nhà cung cấp PC có thể gửi các bản cập nhật của họ và chúng sẽ xuất hiện để tải xuống trong ứng dụng Phần mềm Gnome, được sử dụng trên Ubuntu và nhiều bản phân phối Linux khác. Nỗ lực này bắt nguồn từ năm 2015. Các nhà sản xuất PC như Dell và Lenovo đang tham gia.

Những giải pháp cho Windows và Linux cũng ảnh hưởng không chỉ đến các bản cập nhật UEFI. Các nhà sản xuất phần cứng có thể sử dụng chúng để cập nhật mọi thứ, từ phần mềm chuột USB sang phần sụn ổ đĩa thể rắn trong tương lai.

Như SwiftOnSecurity đã nói khi nói về các vấn đề với phần mềm và mã hóa ổ đĩa trạng thái rắn, các bản cập nhật firmware có thể đáng tin cậy. Chúng ta cần kỳ vọng tốt hơn từ các nhà sản xuất phần cứng.

Cập nhật firmware có thể đáng tin cậy. Tôi đã bắt đầu ít nhất 3.000 bản cập nhật BIOS Dell chỉ với một lỗi và PC cũ đó đã được sử dụng để không thành công.

Suy nghĩ lại những gì bạn nghĩ là không thể. Dịch vụ phần mềm không phải là không thể hoặc rủi ro. Nó đòi hỏi mọi người yêu cầu tốt hơn.

- SwiftOnSecurance (@SwiftOnSecurance) ngày 6 tháng 11 năm 2018

Tín dụng hình ảnh: Intel, Natascha Eibl, kubais / Shutterstock.com.