Pagina inicial » como » Por que o Firmware UEFI do seu PC Precisa de Atualizações de Segurança?

    Por que o Firmware UEFI do seu PC Precisa de Atualizações de Segurança?

    A Microsoft acaba de anunciar o Projeto Mu, prometendo “firmware como um serviço” em hardware suportado. Todo fabricante de PCs deve tomar nota. Os PCs precisam de atualizações de segurança para o firmware UEFI, e os fabricantes de PCs fizeram um trabalho ruim ao entregá-los.

    O que é o Firmware UEFI?

    PCs modernos usam firmware UEFI em vez de um BIOS tradicional. O firmware UEFI é o software de baixo nível que inicia quando você inicializa o seu PC. Ele testa e inicializa seu hardware, faz algumas configurações de sistema de baixo nível e inicializa um sistema operacional a partir da unidade interna do seu computador ou de outro dispositivo de inicialização.

    No entanto, o UEFI é um pouco mais complicado do que o software BIOS mais antigo. Por exemplo, computadores com processadores Intel têm algo chamado Intel Management Engine, que é basicamente um minúsculo sistema operacional. Ele é executado em paralelo ao Windows, Linux ou qualquer outro sistema operacional em execução no seu computador. Em redes corporativas, os administradores de sistema podem usar os recursos do Intel ME para gerenciar remotamente seus computadores.

    O UEFI também contém o processador “microcode”, que é um tipo de firmware para o seu processador. Quando o computador é inicializado, ele carrega o microcódigo do firmware UEFI. Pense nisso como um intérprete que traduz instruções de software para instruções de hardware executadas na CPU.

    Por que o Firmware UEFI Precisa de Atualizações de Segurança?

    Os últimos anos mostraram repetidamente por que o firmware UEFI precisa de atualizações de segurança oportunas.

    Todos nós aprendemos sobre o Spectre em 2018, mostrando os sérios problemas arquitetônicos com CPUs modernas. Problemas com algo chamado “execução especulativa” significavam que os programas poderiam escapar das restrições de segurança padrão e ler áreas seguras de memória. Correções no Spectre exigiam atualizações de microcódigo da CPU para funcionar corretamente. Isso significa que os fabricantes de PCs precisavam atualizar todos os seus laptops e desktops - e os fabricantes de placas-mãe precisavam atualizar todas as suas placas-mãe - com o novo firmware UEFI contendo o microcódigo atualizado. Seu PC não está adequadamente protegido contra o Specter, a menos que você tenha instalado uma atualização de firmware UEFI. A AMD também lançou atualizações de microcódigo para proteger sistemas com processadores AMD contra ataques de Specter, então isso não é apenas uma coisa da Intel.

    O Mecanismo de Gerenciamento da Intel viu alguns bugs de segurança que podem permitir que invasores com acesso local ao computador consigam quebrar o software do Mecanismo de Gerenciamento ou permitir que um invasor com acesso remoto cause problemas. Felizmente, as explorações remotas afetaram apenas as empresas que ativaram a Intel Active Management Technology (AMT), para que os consumidores médios não fossem afetados..

    Estes são apenas alguns exemplos. Os pesquisadores também demonstraram que é possível abusar do firmware UEFI em alguns PCs, usando-o para obter acesso profundo ao sistema. Eles até demonstraram um ransomware persistente que obteve acesso ao firmware UEFI de um computador e executou a partir daí.

    A indústria deve atualizar o firmware UEFI de todos os computadores, assim como qualquer outro software, para ajudar na proteção contra esses problemas e falhas semelhantes no futuro..

    Como o processo de atualização foi quebrado por anos

    O processo de atualização do BIOS tem sido uma bagunça para sempre, desde muito antes do UEFI. Tradicionalmente, os computadores eram fornecidos com esse BIOS antigo e menos poderiam dar errado. Os fabricantes de PCs podem enviar algumas atualizações do BIOS para corrigir pequenos problemas, mas o conselho usual era evitar instalá-los se o seu computador estivesse funcionando corretamente. Muitas vezes você tinha que inicializar a partir de uma unidade DOS inicializável para atualizar a atualização do BIOS, e todos ouviram histórias de falhas na atualização do BIOS e de PCs em massa, tornando-os não inicializáveis.

    As coisas mudaram. O firmware da UEFI faz muito mais, e a Intel lançou várias grandes atualizações para coisas como o microcódigo da CPU e o Intel ME nos últimos anos. Sempre que a Intel divulga essa atualização, tudo o que a Intel pode fazer é dizer “pergunte ao fabricante do seu computador”. O fabricante do seu computador, se você construiu seu próprio PC, precisa pegar o código da Intel e integrá-lo em um novo firmware UEFI. versão. Eles então têm que testar o firmware. Ah, e cada fabricante precisa repetir esse processo para cada PC individual que eles vendem, pois todos eles têm um firmware UEFI diferente. É o tipo de trabalho manual que tornou os telefones Android tão difíceis de atualizar no passado.

    Na prática, isso significa que muitas vezes leva muito tempo - muitos meses - para obter atualizações de segurança críticas que precisam ser entregues via UEFI. Isso significa que os fabricantes podem dar de ombros e se recusar a atualizar os PCs com apenas alguns anos de uso. E, mesmo quando os fabricantes lançam atualizações, essas atualizações são frequentemente enterradas no site de suporte do fabricante. A maioria dos usuários de PC nunca descobrirá quais atualizações de firmware UEFI existem e as instalará, de modo que esses bugs acabam vivendo nos PCs existentes por um longo tempo. E alguns fabricantes ainda fazem com que você instale atualizações de firmware inicializando no DOS primeiro, para torná-lo mais complicado.

    O que as pessoas estão fazendo sobre isso

    Isso é uma bagunça. Precisamos de um processo simplificado onde os fabricantes possam criar mais facilmente novas atualizações de firmware UEFI. Também precisamos de um processo melhor para liberar essas atualizações, para que os usuários possam instalá-las automaticamente em seus PCs. Neste momento o processo é lento e manual - deve ser rápido e automático.

    É o que a Microsoft está tentando fazer com o Projeto Mu. Veja como a documentação oficial explica isso:

    Mu é construído em torno da ideia de que enviar e manter um produto UEFI é uma colaboração contínua entre inúmeros parceiros. Por muito tempo a indústria construiu produtos usando um modelo “bifurcado” combinado com copiar / colar / renomear e com cada novo produto a carga de manutenção cresce a um nível tal que as atualizações são quase impossíveis devido ao custo e risco.

    O projeto Mu trata de ajudar os fabricantes de PC a criar e testar atualizações UEFI mais rapidamente, simplificando o processo de desenvolvimento da UEFI e ajudando todos a trabalhar juntos. Espero que esta seja a peça que faltava, já que a Microsoft já tornou mais fácil para os fabricantes de PCs enviar suas atualizações de firmware UEFI aos usuários automaticamente.

    Especificamente, a Microsoft permite que os fabricantes de PCs emitam atualizações de firmware através do Windows Update e fornecem documentação sobre isso desde pelo menos 2017. A Microsoft também anunciou a Atualização de Firmware de Componentes; um modelo de código aberto que os fabricantes podem usar para atualizar o UEFI e outros firmwares, em outubro de 2018. Se os fabricantes de PCs aceitarem isso, eles poderão fornecer atualizações de firmware a todos os usuários muito rapidamente.

    Isso não é apenas uma coisa do Windows. No Linux, os desenvolvedores estão tentando tornar mais fácil para os fabricantes de PCs lançarem atualizações UEFI com o LVFS, o Serviço de Firmware do Fornecedor Linux. Os fornecedores de PC podem enviar suas atualizações, e elas aparecerão para download no aplicativo GNOME Software, que é usado no Ubuntu e em muitas outras distribuições do Linux. Esse esforço remonta a 2015. Fabricantes de PCs como Dell e Lenovo estão participando.

    Essas soluções para o Windows e o Linux afetam mais do que apenas as atualizações do UEFI. Os fabricantes de hardware podem usá-los para atualizar tudo, desde firmware de mouse USB a firmware de unidade de estado sólido no futuro.

    Como o SwiftOnSecurity disse ao falar sobre os problemas com firmware e criptografia de unidade de estado sólido, as atualizações de firmware podem ser confiáveis. Precisamos esperar melhor dos fabricantes de hardware.

    Atualizações de firmware podem ser confiáveis. Eu iniciei pelo menos 3.000 atualizações do BIOS da Dell com apenas uma falha, e esse PC antigo já estava em serviço para falhar.

    Repense o que você acha que é impossível. A manutenção de firmware não é impossível ou arriscada. Requer que as pessoas exijam melhor.

    - SwiftOnSecurity (@SwiftOnSecurity) 6 de novembro de 2018

    Crédito de imagem: Intel, Natascha Eibl, kubais / Shutterstock.com.