Microsoft har netop annonceret Projekt Mu, der lover “firmware as a service” på understøttet hardware. Alle pc-producenter bør notere sig. Pc’er har brug for sikkerhedsopdateringer til deres UEFI-firmware, og pc-producenter har gjort et dårligt stykke arbejde med at levere dem.
Hvad er UEFI-firmware?
Moderne pc’er bruger UEFI-firmware i stedet for en traditionel BIOS. UEFI-firmwaren er lavniveausoftwaren, der starter, når du starter din pc. Den tester og initialiserer din hardware, laver en systemkonfiguration på lavt niveau og starter derefter et operativsystem fra din computers interne drev eller en anden opstartsenhed.
UEFI er dog lidt mere kompliceret end den ældre BIOS-software. For eksempel har computere med Intel-processorer noget, der hedder Intel Management Engine, som i bund og grund er et lillebitte styresystem. Det kører parallelt med Windows, Linux eller et hvilket som helst operativsystem du kører på din computer. På virksomhedsnetværk kan systemadministratorer bruge funktioner i Intel ME til at fjernadministrere deres computere.
UEFI indeholder også processor “mikrokode”, som er lidt ligesom firmware til din processor. Når din computer starter, indlæser den mikrokode fra UEFI-firmwaren. Tænk på det som en tolk, der oversætter softwareinstruktioner til hardwareinstruktioner udført på CPU’en.
Hvorfor UEFI-firmware har brug for sikkerhedsopdateringer
De sidste par år har igen og igen vist, hvorfor UEFI-firmwaren har brug for rettidige sikkerhedsopdateringer.
Vi lærte alle om Spectre i 2018, hvilket viser de alvorlige arkitektoniske problemer med moderne CPU’er. Problemer med noget, der kaldes “spekulativ udførelse” betød, at programmer kunne undslippe standardsikkerhedsrestriktioner og læse sikre områder af hukommelsen. Rettelser til Spectre krævede CPU-mikrokodeopdateringer for at fungere korrekt. Det betyder, at pc-producenter skulle opdatere alle deres bærbare og stationære pc’er – og bundkortproducenter skulle opdatere alle deres bundkort – med ny UEFI-firmware, der indeholder den opdaterede mikrokode. Din pc er ikke tilstrækkeligt beskyttet mod Spectre, medmindre du har installeret en UEFI-firmwareopdatering. AMD også udgivet mikrokodeopdateringer for at beskytte systemer med AMD-processorer mod Spectre-angreb, så dette er ikke kun en Intel-ting.
Intels Management Engine har set nogle sikkerhedsfejl der enten kunne lade angribere med lokal adgang til computeren knække Management Engine-softwaren eller lade en angriber med fjernadgang forårsage problemer. Heldigvis påvirkede fjernudnyttelserne kun virksomheder, der havde aktiveret Intel Active Management Technology (AMT), så gennemsnitlige forbrugere blev ikke berørt.
Dette er blot nogle få eksempler. Forskere har også vist, at det er muligt at misbruge UEFI-firmwaren på nogle pc’er ved at bruge den til at få dyb adgang til systemet. De har endda demonstreret vedvarende ransomware der fik adgang til en computers UEFI-firmware og kørte derfra.
Industrien bør opdatere hver computers UEFI-firmware ligesom enhver anden software for at hjælpe med at beskytte mod disse problemer og lignende fejl i fremtiden.
Hvordan opdateringsprocessen har været brudt i årevis
BIOS-opdateringsprocessen har været et rod for evigt – siden længe før UEFI. Traditionelt blev computere leveret med den gamle BIOS, og mindre kunne gå galt. Pc-producenter sender muligvis et par BIOS-opdateringer for at løse mindre problemer, men det sædvanlige råd var at undgå at installere dem, hvis din pc fungerede korrekt. Du var ofte nødt til at starte fra et bootbart DOS-drev for at flashe BIOS-opdateringen, og alle hørte historier om BIOS-opdateringer, der fejlede og murede pc’er, hvilket gjorde dem ustartbare.
Tingene har ændret sig. UEFI-firmware gør meget mere, og Intel har udgivet flere store opdateringer til ting som CPU-mikrokode og Intel ME i de sidste par år. Hver gang Intel udgiver en sådan opdatering, er alt, hvad Intel kan gøre, at sige “spørg din computerproducent.” Din computerproducent – eller bundkortproducent, hvis du har bygget din egen pc – skal tage koden fra Intel og integrere den i en ny UEFI-firmwareversion. Så skal de teste firmwaren. Åh, og hver producent skal gentage denne proces for hver enkelt pc, de sælger, da de alle har forskellig UEFI-firmware. Det er den slags manuelt arbejde, der tidligere gjorde Android-telefoner så svære at opdatere.
I praksis betyder det, at det ofte tager lang tid – mange måneder – at få kritiske sikkerhedsopdateringer, der skal leveres via UEFI. Det betyder, at producenter kan trække på skuldrene og nægte at opdatere pc’er, der kun er et par år gamle. Og selv når producenter udgiver opdateringer, er disse opdateringer ofte begravet på den pågældende producents supportwebsted. De fleste pc-brugere vil aldrig opdage, at disse UEFI-firmwareopdateringer eksisterer og installere dem, så disse fejl ender med at leve på eksisterende pc’er i lang tid. Og nogle producenter får dig stadig til at installere firmwareopdateringer ved at starte op i DOS først – bare for at gøre det ekstra kompliceret.
Hvad folk gør ved det
Det er noget rod. Vi har brug for en strømlinet proces, hvor producenterne nemmere kan oprette nye UEFI-firmwareopdateringer. Vi har også brug for en bedre proces til at frigive disse opdateringer, så brugerne kan få dem installeret automatisk på deres pc’er. Lige nu er processen langsom og manuel – den skal være hurtig og automatisk.
Det er, hvad Microsoft forsøger at gøre med Project Mu. Her er hvordan officiel dokumentation forklarer det:
Mu er bygget op omkring ideen om, at forsendelse og vedligeholdelse af et UEFI-produkt er et løbende samarbejde mellem adskillige partnere. I alt for lang tid har industrien bygget produkter ved hjælp af en “forking”-model kombineret med copy/paste/rename, og for hvert nyt produkt vokser vedligeholdelsesbyrden til et sådant niveau, at opdateringer er næsten umulige på grund af omkostninger og risiko.
Project Mu handler om at hjælpe pc-producenter med at skabe og teste UEFI-opdateringer hurtigere ved at strømline UEFI-udviklingsprocessen og hjælpe alle med at arbejde sammen. Forhåbentlig er dette den manglende brik, da Microsoft allerede har gjort det nemmere for pc-producenter at sende deres UEFI-firmwareopdateringer til brugerne automatisk.
Specifikt lader Microsoft pc-producenter udstede firmwareopdateringer gennem Windows Update og har leveret dokumentation herom siden mindst 2017. Microsoft meddelte også Opdatering af komponentfirmware; en open source-model, som producenter kan bruge til at opdatere UEFI og anden firmware, tilbage i oktober 2018. Hvis pc-producenter kommer med på dette, kan de meget hurtigt levere firmwareopdateringer til alle deres brugere.
Dette er heller ikke kun en Windows-ting. Over på Linux forsøger udviklere at gøre det nemmere for pc-producenter at udstede UEFI-opdateringer med LVFS, Linux-leverandørens firmwaretjeneste. Pc-leverandører kan indsende deres opdateringer, og de vises til download i GNOME-softwareapplikationen, som bruges på Ubuntu og mange andre Linux-distributioner. Denne indsats går tilbage til 2015. PC-producenter kan lide Dell og Lenovo deltager.
Disse løsninger til Windows og Linux påvirker også mere end blot UEFI-opdateringer. Hardwareproducenter kunne bruge dem til at opdatere alt fra USB-muse-firmware til solid-state-drev-firmware i fremtiden.
Som SwiftOnSecurity sige det, når man taler om problemerne med solid-state drive firmware og kryptering, kan firmwareopdateringer være pålidelige. Vi skal forvente bedre af hardwareproducenter.
Firmwareopdateringer kan være pålidelige. Jeg har påbegyndt mindst 3.000 Dell BIOS-opdateringer med kun én fejl, og den gamle pc var allerede i drift for fejl.
Gentænk, hvad du tror er umuligt. Firmwareservice er ikke umuligt eller risikabelt. Det kræver, at folk efterspørger bedre.
— SwiftOnSecurity (@SwiftOnSecurity) 6. november 2018
Billedkredit: Intel, Natascha Eibl, kubais/Shutterstock.com.
