Microsoft acaba de anunciar Projeto Mu, prometendo “firmware como serviço” no hardware compatível. Todo fabricante de PC deve tomar nota. Os PCs precisam de atualizações de segurança para seu firmware UEFI, e os fabricantes de PCs têm feito um péssimo trabalho ao entregá-las.
últimas postagens
O que é firmware UEFI?
PCs modernos usam firmware UEFI em vez de BIOS tradicional. O firmware UEFI é o software de baixo nível que inicia quando você inicializa o PC. Ele testa e inicializa seu hardware, faz algumas configurações de sistema de baixo nível e, em seguida, inicializa um sistema operacional a partir da unidade interna de seu computador ou outro dispositivo de inicialização.
No entanto, UEFI é um pouco mais complicado do que o software BIOS mais antigo. Por exemplo, computadores com processadores Intel têm algo chamado Intel Management Engine, que é basicamente um sistema operacional minúsculo. Ele roda em paralelo com o Windows, Linux ou qualquer sistema operacional que você esteja executando no seu computador. Em redes corporativas, os administradores de sistema podem usar recursos do Intel ME para gerenciar remotamente seus computadores.
UEFI também contém “microcódigo” de processador, que é uma espécie de firmware para o seu processador. Quando seu computador inicializa, ele carrega o microcódigo do firmware UEFI. Pense nisso como um intérprete que traduz as instruções do software em instruções de hardware executadas na CPU.
Por que o firmware UEFI precisa de atualizações de segurança
Os últimos anos mostraram continuamente por que o firmware UEFI precisa de atualizações de segurança oportunas.
Todos nós aprendemos sobre o Spectre em 2018, mostrando os sérios problemas arquitetônicos com CPUs modernas. Problemas com algo chamado “execução especulativa” significava que os programas podiam escapar das restrições de segurança padrão e ler áreas seguras da memória. Correções no Spectre exigiam atualizações do microcódigo da CPU para funcionar corretamente. Isso significa que os fabricantes de PC tiveram que atualizar todos os seus laptops e desktops – e os fabricantes de placas-mãe tiveram que atualizar todas as suas placas-mãe – com o novo firmware UEFI contendo o microcódigo atualizado. Seu PC não está adequadamente protegido contra Spectre, a menos que você tenha instalado uma atualização de firmware UEFI. AMD também lançou atualizações de microcódigo para proteger sistemas com processadores AMD de ataques Spectre, então isso não é apenas uma coisa da Intel.
O Management Engine da Intel viu alguns bugs de segurança isso pode permitir que invasores com acesso local ao computador violem o software Management Engine ou que um invasor com acesso remoto cause problemas. Felizmente, as explorações remotas afetaram apenas as empresas que habilitaram a Intel Active Management Technology (AMT), de modo que os consumidores comuns não foram afetados.
Estes são apenas alguns exemplos. Os pesquisadores também demonstraram que é possível abusar do firmware UEFI em alguns PCs, usando-o para obter acesso profundo ao sistema. Eles até demonstraram ransomware persistente que obteve acesso ao firmware UEFI de um computador e executou a partir daí.
A indústria deve atualizar o firmware UEFI de cada computador, assim como qualquer outro software, para ajudar na proteção contra esses problemas e falhas semelhantes no futuro.
Como o processo de atualização foi interrompido por anos
O processo de atualização do BIOS tem sido uma bagunça para sempre – desde muito antes da UEFI. Tradicionalmente, os computadores vêm com aquele BIOS da velha escola, e menos poderia dar errado. Os fabricantes de PC podem enviar algumas atualizações de BIOS para corrigir pequenos problemas, mas o conselho usual era evitar instalá-los se o seu PC estivesse funcionando corretamente. Freqüentemente, era necessário inicializar de um drive DOS inicializável para fazer o flash da atualização do BIOS, e todos ouviam histórias de atualizações do BIOS falhando e travando PCs, tornando-os impossíveis de inicializar.
As coisas mudaram. O firmware UEFI faz muito mais, e a Intel lançou várias grandes atualizações para coisas como o microcódigo da CPU e o Intel ME nos últimos anos. Sempre que a Intel lança uma atualização desse tipo, tudo o que a Intel pode fazer é dizer “pergunte ao fabricante do seu computador”. O fabricante do seu computador – ou fabricante da placa-mãe, se você construiu seu próprio PC – tem que pegar o código da Intel e integrá-lo em uma nova versão de firmware UEFI. Em seguida, eles têm que testar o firmware. Ah, e cada fabricante precisa repetir esse processo para cada PC individual que vende, pois todos têm firmware UEFI diferente. É o tipo de trabalho manual que tornava os telefones Android tão difíceis de atualizar no passado.
Na prática, isso significa que geralmente leva muito tempo – muitos meses – para obter atualizações críticas de segurança que precisam ser entregues via UEFI. Isso significa que os fabricantes podem encolher os ombros e se recusar a atualizar PCs que têm apenas alguns anos. E, mesmo quando os fabricantes lançam atualizações, essas atualizações geralmente ficam enterradas no site de suporte do fabricante. A maioria dos usuários de PC nunca vai descobrir que essas atualizações de firmware UEFI existem e instalá-las, então esses bugs continuam vivendo em PCs existentes por um longo tempo. E alguns fabricantes ainda fazem com que você instale atualizações de firmware inicializando no DOS primeiro – apenas para torná-lo ainda mais complicado.
O que as pessoas estão fazendo sobre isso
Isso é uma bagunça. Precisamos de um processo simplificado onde os fabricantes possam criar mais facilmente novas atualizações de firmware UEFI. Também precisamos de um processo melhor para lançar essas atualizações, para que os usuários possam instalá-las automaticamente em seus PCs. No momento, o processo é lento e manual – deve ser rápido e automático.
É isso que a Microsoft está tentando fazer com o Project Mu. É assim que documentação oficial explica isso:
Mu é construído em torno da ideia de que enviar e manter um produto UEFI é uma colaboração contínua entre vários parceiros. Por muito tempo, a indústria construiu produtos usando um modelo de “bifurcação” combinado com copiar / colar / renomear e, com cada novo produto, a carga de manutenção cresce a um nível que as atualizações são quase impossíveis devido ao custo e risco.
O Project Mu tem como objetivo ajudar os fabricantes de PC a criar e testar atualizações UEFI mais rapidamente, agilizando o processo de desenvolvimento UEFI e ajudando todos a trabalharem juntos. Esperançosamente, esta é a peça que faltava, pois a Microsoft já tornou mais fácil para os fabricantes de PCs enviarem suas atualizações de firmware UEFI aos usuários automaticamente.
Especificamente, a Microsoft permite que os fabricantes de PC emitir atualizações de firmware por meio do Windows Update e forneceu documentação sobre isso pelo menos desde 2017. A Microsoft também anunciou Atualização de firmware de componente; um modelo de código aberto que os fabricantes podem usar para atualizar a UEFI e outros firmware, em outubro de 2018. Se os fabricantes de PC aceitarem isso, eles podem fornecer atualizações de firmware para todos os seus usuários muito rapidamente.
Isso não é apenas uma coisa do Windows. No Linux, os desenvolvedores estão tentando tornar mais fácil para os fabricantes de PC emitir atualizações UEFI com LVFS, o Linux Vendor Firmware Service. Os fornecedores de PC podem enviar suas atualizações e elas aparecerão para download no aplicativo GNOME Software, que é usado no Ubuntu e em muitas outras distribuições Linux. Esse esforço remonta a 2015. Os fabricantes de PC gostam Dell e Lenovo estão participando.
Essas soluções para Windows e Linux também afetam mais do que apenas atualizações UEFI. Os fabricantes de hardware podem usá-los para atualizar tudo, desde o firmware do mouse USB ao firmware da unidade de estado sólido no futuro.
Como SwiftOnSecurity Ao falar sobre os problemas com firmware e criptografia de unidade de estado sólido, as atualizações de firmware podem ser confiáveis. Precisamos esperar melhor dos fabricantes de hardware.
As atualizações de firmware podem ser confiáveis. Iniciei pelo menos 3.000 atualizações do BIOS da Dell com apenas uma falha, e aquele PC antigo já estava funcionando devido a falhas.
Repensar o que você acha que é impossível. A manutenção do firmware não é impossível ou arriscada. Exige que as pessoas exijam melhor.
– SwiftOnSecurity (@SwiftOnSecurity) 6 de novembro de 2018
Crédito da imagem: Intel, Natascha Eibl, Kubais/Shutterstock.com.