Microsoft нещодавно анонсувала Проєкт Mu, який має на меті забезпечити “прошивку як послугу” для сумісного обладнання. Це важлива новина для всіх виробників персональних комп’ютерів. Сучасні комп’ютери потребують регулярних оновлень безпеки свого мікропрограмного забезпечення UEFI, і, на жаль, виробники комп’ютерів не завжди справляються з цим завданням належним чином.
Що таке мікропрограма UEFI?
Сучасні комп’ютери використовують прошивку UEFI, що прийшла на заміну застарілому BIOS. UEFI – це низькорівневе програмне забезпечення, яке активується при ввімкненні комп’ютера. Його завдання – перевірити та ініціалізувати апаратне забезпечення, виконати початкову конфігурацію системи, а потім запустити операційну систему з внутрішнього накопичувача чи іншого завантажувального пристрою.
UEFI є складнішою системою, ніж старий BIOS. Наприклад, комп’ютери з процесорами Intel використовують так званий Intel Management Engine, який фактично являє собою мініатюрну операційну систему. Він працює паралельно з Windows, Linux або іншою операційною системою, встановленою на вашому комп’ютері. У корпоративних мережах системні адміністратори можуть використовувати функції Intel ME для віддаленого керування комп’ютерами.
UEFI також містить “мікрокод” процесора, своєрідну прошивку для вашого центрального процесора. Під час завантаження комп’ютер завантажує цей мікрокод з прошивки UEFI. Його можна уявити як інтерпретатор, що переводить програмні інструкції в апаратні, зрозумілі для процесора.
Чому оновлення безпеки мікропрограми UEFI є важливими?
Останні роки неодноразово підкреслювали необхідність своєчасних оновлень безпеки для прошивки UEFI.
У 2018 році світ дізнався про вразливість Spectre, яка виявила серйозні архітектурні недоліки сучасних процесорів. Проблеми зі “спекулятивним виконанням” дозволяли програмам обходити стандартні обмеження безпеки та отримувати доступ до захищених областей пам’яті. Для виправлення Spectre потрібні були оновлення мікрокоду процесора. Це означало, що виробникам комп’ютерів довелося оновлювати усі свої ноутбуки та настільні комп’ютери, а виробникам материнських плат – оновлювати усі свої материнські плати, надаючи нову мікропрограму UEFI з оновленим мікрокодом. Ваш комп’ютер не буде достатньо захищений від Spectre без встановлення оновлення мікропрограми UEFI. AMD також випустила оновлення мікрокоду для захисту систем з процесорами AMD від атак Spectre, тому ця проблема стосується не лише Intel.
Intel Management Engine також виявив певні вразливості, які могли дозволити зловмисникам з локальним доступом зламати програмне забезпечення Management Engine або з віддаленим доступом спричинити проблеми. На щастя, віддалені експлойти торкалися лише тих компаній, які використовували технологію Intel Active Management Technology (AMT), тому звичайні користувачі не постраждали.
Це лише декілька прикладів. Дослідники довели, що мікропрограму UEFI на деяких комп’ютерах можна використовувати для отримання глибокого доступу до системи. Вони навіть продемонстрували стійке програмне забезпечення-вимагач, яке отримувало доступ до прошивки UEFI комп’ютера та запускалося звідти.
Щоб захиститися від цих та подібних вразливостей, потрібно постійно оновлювати прошивку UEFI кожного комп’ютера, як і будь-яке інше програмне забезпечення.
Недоліки процесу оновлення протягом багатьох років
Процес оновлення BIOS завжди був складним, ще задовго до появи UEFI. Традиційно комп’ютери постачалися зі старим BIOS, і тоді було менше ризиків виникнення проблем. Виробники комп’ютерів могли випускати невеликі оновлення BIOS для виправлення незначних проблем, але звичайною порадою було не встановлювати їх, якщо ваш комп’ютер працював належним чином. Часто для оновлення BIOS потрібно було завантажуватися з диска DOS, і всі чули історії про збійні оновлення BIOS, які виводили комп’ютери з ладу.
Ситуація змінилася. Прошивка UEFI виконує значно більше функцій, і за останні роки Intel випустила кілька важливих оновлень для мікрокоду ЦП та Intel ME. Кожного разу, коли Intel випускає таке оновлення, все, що вона може зробити, – це сказати “зверніться до виробника вашого комп’ютера”. Виробник вашого комп’ютера, або виробник материнської плати, якщо ви зібрали комп’ютер самостійно, повинен взяти код від Intel та інтегрувати його в нову версію мікропрограми UEFI. Потім вони повинні протестувати прошивку. І кожен виробник повинен повторити цей процес для кожного комп’ютера, який продає, оскільки всі вони мають різну прошивку UEFI. Це той вид ручної роботи, що ускладнював оновлення телефонів Android у минулому.
На практиці це означає, що отримання важливих оновлень безпеки, які мають надходити через UEFI, часто займає багато часу – багато місяців. Виробники можуть просто проігнорувати оновлення для комп’ютерів, яким лише кілька років. Навіть якщо виробники випускають оновлення, вони часто приховані на веб-сайтах підтримки. Більшість користувачів ПК ніколи не дізнаються про ці оновлення прошивки UEFI і не встановлять їх, тому вразливості залишаються на комп’ютерах протягом тривалого часу. Деякі виробники все ще змушують користувачів встановлювати оновлення, завантажуючись у DOS, що робить цей процес ще складнішим.
Які кроки вживаються для вирішення проблеми
Ця ситуація є неприйнятною. Потрібен спрощений процес, що дозволить виробникам легше створювати нові оновлення прошивки UEFI. Потрібен також покращений процес поширення оновлень, щоб користувачі могли автоматично встановлювати їх на своїх комп’ютерах. Зараз процес повільний і ручний, а має бути швидким та автоматичним.
Microsoft намагається вирішити цю проблему за допомогою Project Mu. Ось як офіційна документація пояснює це:
“Mu побудований на ідеї, що поставка та обслуговування продукту UEFI – це постійна співпраця між численними партнерами. Занадто довго промисловість створювала продукти за моделлю “розподілу” у поєднанні з копіюванням/вставкою/перейменуванням, і з кожним новим продуктом тягар технічного обслуговування зростає до такого рівня, що оновлення стають майже неможливими через вартість та ризик.”
Project Mu має на меті допомогти виробникам комп’ютерів швидше створювати та тестувати оновлення UEFI, спрощуючи процес розробки UEFI та допомагаючи всім працювати разом. Сподіваємося, що цього буде достатньо, оскільки Microsoft вже полегшила виробникам автоматичну доставку оновлень прошивки UEFI користувачам.
Зокрема, Microsoft дозволяє виробникам ПК поширювати оновлення прошивки через Windows Update та надає відповідну документацію щонайменше з 2017 року. Microsoft також анонсувала Компонентне оновлення мікропрограми; модель з відкритим вихідним кодом, яку виробники можуть використовувати для оновлення UEFI та іншого мікропрограмного забезпечення, ще в жовтні 2018 року. Якщо виробники комп’ютерів підтримають цю ініціативу, вони зможуть швидко доставляти оновлення прошивки всім користувачам.
Це стосується не лише Windows. У Linux розробники намагаються полегшити виробникам випуск оновлень UEFI через LVFS, сервіс оновлення прошивки для Linux. Виробники комп’ютерів можуть завантажувати свої оновлення, і вони будуть доступні для завантаження у програмі GNOME Software, що використовується в Ubuntu та інших дистрибутивах Linux. Ця ініціатива існує з 2015 року. Такі виробники як Dell та Lenovo активно беруть у ній участь.
Ці рішення для Windows та Linux стосуються не лише оновлень UEFI. Виробники обладнання зможуть використовувати їх для оновлення усього, від прошивки USB-миші до прошивки твердотільного накопичувача.
Як SwiftOnSecurity зазначила, говорячи про проблеми з мікропрограмою та шифруванням твердотільного накопичувача, оновлення мікропрограми можуть бути надійними. Ми повинні вимагати кращого від виробників обладнання.
Оновлення мікропрограми можуть бути надійними. Я встановив не менше 3000 оновлень Dell BIOS з лише однією помилкою, і цей старий комп’ютер вже працював через збій.
Подумайте ще раз про те, що ви вважаєте неможливим. Обслуговування мікропрограми не є неможливим або ризикованим. Потрібно лише, щоб люди почали вимагати кращого.
— SwiftOnSecurity (@SwiftOnSecurity) 6 листопада 2018 року
Авторство зображень: Intel, Наташа Ейбл, kubais/Shutterstock.com.