Startpagina » hoe » Waarom de UEFI-firmware van uw pc beveiligingsupdates vereist

    Waarom de UEFI-firmware van uw pc beveiligingsupdates vereist

    Microsoft heeft zojuist Project Mu aangekondigd met de belofte "firmware as a service" op ondersteunde hardware. Elke pc-fabrikant moet dit opmerken. Pc's hebben beveiligingsupdates nodig voor hun UEFI-firmware en de pc-fabrikanten hebben het niet goed gedaan.

    Wat is UEFI Firmware?

    Moderne pc's gebruiken UEFI-firmware in plaats van een traditioneel BIOS. De UEFI-firmware is de low-level software die start wanneer u uw pc opstart. Het test en initialiseert uw hardware, voert enige systeemconfiguratie op laag niveau uit en start vervolgens een besturingssysteem op vanaf de interne schijf van uw computer of een ander opstartapparaat.

    UEFI is echter iets gecompliceerder dan de oudere BIOS-software. Computers met Intel-processoren hebben bijvoorbeeld iets dat de Intel Management Engine wordt genoemd, wat eigenlijk een heel klein besturingssysteem is. Het werkt parallel met Windows, Linux of welk besturingssysteem je ook gebruikt op je computer. Op bedrijfsnetwerken kunnen systeembeheerders functies in de Intel ME gebruiken om hun computers op afstand te beheren.

    UEFI bevat ook "microcode" van de processor, wat een beetje lijkt op firmware voor uw processor. Wanneer uw computer opstart, wordt de microcode geladen van de UEFI-firmware. Zie het als een tolk die software-instructies omzet in hardware-instructies die op de CPU worden uitgevoerd.

    Waarom UEFI-firmware beveiligingsupdates nodig heeft

    De afgelopen jaren hebben steeds weer aangetoond waarom UEFI-firmware tijdige beveiligingsupdates nodig heeft.

    We leerden allemaal over Spectre in 2018, en toonden de serieuze architectuurproblemen met moderne CPU's. Problemen met iets dat 'speculatieve uitvoering' wordt genoemd, betekenden dat programma's konden ontsnappen aan standaardbeveiligingsbeperkingen en beveiligde geheugengebieden konden lezen. Fixes to Specter vereisten dat updates van de CPU-microcode correct werken. Dat betekent dat pc-fabrikanten al hun laptop- en desktop-pc's - en moederbordfabrikanten moesten al hun moederborden bijwerken - updaten met nieuwe UEFI-firmware met de bijgewerkte microcode. Uw pc is niet voldoende beschermd tegen Spectre tenzij u een UEFI-firmware-update hebt geïnstalleerd. AMD bracht ook microcode-updates uit om systemen met AMD-processoren te beschermen tegen Spectre-aanvallen, dus dit is niet alleen een Intel-ding.

    Intel's Management Engine heeft een aantal beveiligingsbugs gezien waarmee aanvallers met lokale toegang tot de computer de Management Engine-software konden kraken of een aanvaller met externe toegang problemen kon bezorgen. Gelukkig waren de exploits op afstand alleen van invloed op bedrijven die Intel Active Management Technology (AMT) hadden ingeschakeld, waardoor gemiddelde consumenten niet werden beïnvloed.

    Dit zijn slechts enkele voorbeelden. Onderzoekers hebben ook aangetoond dat het mogelijk is om de UEFI-firmware op sommige pc's te misbruiken om daarmee diepe toegang tot het systeem te krijgen. Ze hebben zelfs aanhoudende ransomware getoond die toegang heeft gekregen tot de UEFI-firmware van een computer en vandaaruit is gegaan.

    De industrie zou elke UEFI-firmware van de computer moeten updaten, net als elke andere software om te helpen beschermen tegen deze problemen en soortgelijke tekortkomingen in de toekomst.

    Hoe het updateproces jarenlang is verbroken

    Het BIOS-updateproces is voor altijd een puinhoop geweest - al lang voor UEFI. Traditioneel worden computers geleverd met dat oude school-BIOS, en minder kan fout gaan. Pc-fabrikanten zouden enkele BIOS-updates kunnen verzenden om kleine problemen op te lossen, maar het gebruikelijke advies was om ze niet te installeren als uw pc correct werkte. Je moest vaak booten vanaf een opstartbare DOS-schijf om de BIOS-update te flashen en iedereen hoorde verhalen over BIOS-updates die pc's kapotmaakten en samenvoegden, waardoor ze niet-opstartbaar waren.

    Dingen zijn veranderd. UEFI-firmware doet veel meer, en Intel heeft de afgelopen jaren verschillende grote updates uitgebracht voor zaken als CPU-microcode en Intel ME. Telkens wanneer Intel zo'n update uitbrengt, kan Intel alleen zeggen: vraag het aan uw computerfabrikant. De fabrikant van uw computer of moederbord, als u uw eigen pc hebt gebouwd, moet de code van Intel overnemen en deze in een nieuwe UEFI-firmware integreren. versie. Ze moeten dan de firmware testen. Oh, en elke fabrikant moet dit proces herhalen voor elke individuele pc die ze verkopen, omdat ze allemaal verschillende UEFI-firmware hebben. Het is het soort handmatig werk dat ervoor zorgde dat Android-telefoons in het verleden zo moeilijk te updaten waren.

    In de praktijk betekent dit dat het vaak lang duurt - vele maanden - om kritieke beveiligingsupdates te ontvangen die via UEFI moeten worden geleverd. Het betekent dat fabrikanten misschien hun schouders ophalen en weigeren om pc's te updaten die slechts een paar jaar oud zijn. En zelfs als fabrikanten updates vrijgeven, worden die updates vaak begraven op de ondersteuningswebsite van die fabrikant. De meeste pc-gebruikers zullen nooit ontdekken dat die UEFI-firmware-updates bestaan ​​en ze installeren, dus deze bugs leven lang op bestaande pc's. En sommige fabrikanten zorgen er nog steeds voor dat je firmware-updates installeert door eerst in DOS op te starten - alleen om het extra ingewikkeld te maken.

    Wat mensen erover doen

    Dat is een zooitje. We hebben een gestroomlijnd proces nodig waarbij fabrikanten gemakkelijker nieuwe UEFI-firmware-updates kunnen maken. We hebben ook een beter proces nodig voor het vrijgeven van die updates, zodat gebruikers deze automatisch op hun pc's kunnen installeren. Op dit moment is het proces langzaam en handmatig - het moet snel en automatisch zijn.

    Dat is wat Microsoft probeert te doen met Project Mu. Hier is hoe de officiële documentatie het verklaart:

    Mu is gebouwd rond het idee dat verzending en onderhoud van een UEFI-product een voortdurende samenwerking is tussen talrijke partners. Te lang heeft de industrie producten gebouwd met behulp van een "forking" -model in combinatie met copy / paste / hernoemen en bij elk nieuw product groeit de onderhoudslast tot een niveau dat updates bijna onmogelijk zijn vanwege kosten en risico's.

    Bij Project Mu willen pc-fabrikanten sneller UEFI-updates maken en testen door het UEFI-ontwikkelingsproces te stroomlijnen en iedereen te laten samenwerken. Hopelijk is dit het ontbrekende stuk, aangezien Microsoft het al voor pc-fabrikanten eenvoudiger heeft gemaakt om hun UEFI-firmware-updates automatisch naar gebruikers te sturen.

    Meer in het bijzonder laat Microsoft PC-fabrikanten firmware-updates via Windows Update uitvoeren en heeft daar sinds ten minste 2017 documentatie over verstrekt. Microsoft kondigde ook Component Firmware Update aan; een open-source model dat fabrikanten kunnen gebruiken om UEFI en andere firmware te updaten, terug in oktober 2018. Als pc-fabrikanten hiermee aan de slag gaan, kunnen ze zeer snel firmware-updates aan al hun gebruikers leveren.

    Dit is ook niet alleen een Windows-ding. Over Linux proberen ontwikkelaars het gemakkelijker te maken voor pc-fabrikanten om UEFI-updates uit te geven met LVFS, de Linux Vendor Firmware Service. Pc-leveranciers kunnen hun updates indienen en ze verschijnen voor download in de GNOME Software-applicatie, die wordt gebruikt op Ubuntu en vele andere Linux-distributies. Deze inspanning dateert van 2015. PC-fabrikanten zoals Dell en Lenovo doen mee.

    Deze oplossingen voor Windows en Linux beïnvloeden ook meer dan alleen UEFI-updates. Hardwarefabrikanten kunnen ze gebruiken om in de toekomst alles te updaten van firmware voor USB-muizen tot solid-state schijffirmware.

    Zoals SwiftOnSecurity het uitdrukte bij het praten over de problemen met solid-state schijffirmware en codering, kunnen firmware-updates betrouwbaar zijn. We moeten beter verwachten van hardwarefabrikanten.

    Firmware-updates kunnen betrouwbaar zijn. Ik heb ten minste 3.000 Dell BIOS-updates gestart met slechts één fout en die oude pc was al in gebruik voor een fout.

    Heroverweeg wat u denkt dat onmogelijk is. Firmware-onderhoud is niet onmogelijk of riskant. Het vereist dat mensen beter eisen.

    - SwiftOnSecurity (@SwiftOnSecurity) 6 november 2018

    Beeldcredits: Intel, Natascha Eibl, kubais / Shutterstock.com.

    Waarom uw Windows-pc niet echt is (en precies hoe dat u beperkt)
    Wi-Fi-webcams doen meer dan alleen video opnemen
    Waarom je mening belangrijk is en waarom je er niet bang voor moet zijn om er een te hebben
    Volgend artikel
    Waarom uw foto's niet altijd verschijnen Correct gedraaid
    Vorig artikel
    Waarom uw pc de verjaardagsverjaardag-update van Windows 10 nog niet heeft ontvangen en hoe u deze kunt downloaden