Warum die UEFI-Firmware Ihres PCs Sicherheitsupdates benötigt
Microsoft hat gerade Project Mu angekündigt und verspricht "Firmware as a Service" auf unterstützter Hardware. Jeder PC-Hersteller sollte dies beachten. PCs benötigen Sicherheitsupdates für ihre UEFI-Firmware, und die PC-Hersteller haben sie nur schlecht zur Verfügung gestellt.
Was ist UEFI-Firmware??
Moderne PCs verwenden UEFI-Firmware anstelle eines herkömmlichen BIOS. Die UEFI-Firmware ist die Low-Level-Software, die beim Booten Ihres PCs gestartet wird. Es testet und initialisiert Ihre Hardware, führt einige Low-Level-Systemkonfigurationen durch und bootet ein Betriebssystem vom internen Laufwerk Ihres Computers oder von einem anderen Startgerät.
UEFI ist jedoch etwas komplizierter als die ältere BIOS-Software. Zum Beispiel haben Computer mit Intel-Prozessoren eine sogenannte Intel Management Engine, die im Grunde ein winziges Betriebssystem ist. Es läuft parallel zu Windows, Linux oder einem anderen Betriebssystem auf Ihrem Computer. In Unternehmensnetzwerken können Systemadministratoren Funktionen in Intel ME zur Remote-Verwaltung ihrer Computer verwenden.
UEFI enthält auch einen "Mikrocode" des Prozessors, eine Art Firmware für Ihren Prozessor. Beim Starten Ihres Computers wird der Mikrocode von der UEFI-Firmware geladen. Stellen Sie sich das wie einen Interpreter vor, der Softwareanweisungen in Hardwareanweisungen übersetzt, die in der CPU ausgeführt werden.
Warum für UEFI-Firmware Sicherheitsupdates erforderlich sind
Die letzten Jahre haben immer wieder gezeigt, warum die UEFI-Firmware zeitgerechte Sicherheitsupdates benötigt.
Wir haben alle im Jahr 2018 von Spectre erfahren und die gravierenden architektonischen Probleme mit modernen CPUs aufgezeigt. Probleme mit der sogenannten spekulativen Ausführung bedeuten, dass Programme den üblichen Sicherheitsbeschränkungen entgehen und sichere Speicherbereiche lesen können. Korrekturen für Spectre erforderlich, dass CPU-Mikrocode-Updates korrekt funktionieren. Dies bedeutet, dass die PC-Hersteller alle ihre Laptop- und Desktop-PCs aktualisieren mussten, und die Motherboard-Hersteller mussten alle ihre Motherboards mit der neuen UEFI-Firmware aktualisieren, die den aktualisierten Mikrocode enthält. Ihr PC ist nicht ausreichend vor Specter geschützt, wenn Sie kein UEFI-Firmware-Update installiert haben. AMD hat auch Mikrocode-Updates veröffentlicht, um Systeme mit AMD-Prozessoren vor Angriffen von Specter zu schützen. Dies ist also nicht nur eine Sache von Intel.
Die Management Engine von Intel hat einige Sicherheitslücken entdeckt, durch die Angreifer mit lokalem Zugriff auf den Computer die Management Engine-Software knacken können oder ein Angreifer mit Fernzugriff Probleme verursachen kann. Glücklicherweise waren von den Remote-Exploits nur Unternehmen betroffen, die die Intel Active Management Technology (AMT) aktiviert hatten. Daher waren Durchschnittsverbraucher nicht betroffen.
Dies sind nur einige Beispiele. Forscher haben auch gezeigt, dass es möglich ist, die UEFI-Firmware auf einigen PCs zu missbrauchen, um tiefen Zugriff auf das System zu erhalten. Sie haben sogar dauerhafte Erpressersoftware demonstriert, die Zugriff auf die UEFI-Firmware eines Computers erhielt und von dort ausgeführt wurde.
Die Industrie sollte die UEFI-Firmware jedes Computers ebenso wie jede andere Software aktualisieren, um in Zukunft vor diesen Problemen und ähnlichen Fehlern zu schützen.
Wie der Update-Prozess seit Jahren unterbrochen wurde
Der BIOS-Update-Prozess war schon lange vor der UEFI ein Durcheinander. Normalerweise würden Computer, die mit diesem BIOS der alten Schule ausgeliefert wurden, fehlerhafter sein. PC-Hersteller liefern zwar einige BIOS-Updates, um kleinere Probleme zu beheben, der übliche Rat war jedoch, die Installation zu vermeiden, wenn Ihr PC ordnungsgemäß funktioniert. Sie mussten häufig von einem bootfähigen DOS-Laufwerk aus booten, um das BIOS-Update zu flashen. Jeder hörte von BIOS-Updates, die fehlgeschlagen sind, und Ziegel-PCs, die sie nicht mehr booten ließen.
Dinge haben sich geändert. Die UEFI-Firmware bietet weitaus mehr, und Intel hat in den letzten Jahren einige große Updates für CPU-Mikrocode und Intel ME veröffentlicht. Wenn Intel ein solches Update veröffentlicht, kann Intel lediglich sagen: "Fragen Sie Ihren Computerhersteller." Wenn Ihr Computerhersteller oder Ihr Motherboard-Hersteller einen eigenen PC gebaut hat, muss er den Code von Intel übernehmen und in eine neue UEFI-Firmware integrieren Ausführung. Sie müssen dann die Firmware testen. Oh, und jeder Hersteller muss diesen Vorgang für jeden einzelnen PC, den er verkauft, wiederholen, da alle eine unterschiedliche UEFI-Firmware haben. Es ist eine Art manuelle Arbeit, die Android-Handys in der Vergangenheit so schwer zu aktualisieren machte.
In der Praxis bedeutet dies, dass es oft viele Monate dauert, um kritische Sicherheitsupdates zu erhalten, die über UEFI bereitgestellt werden müssen. Dies bedeutet, dass Hersteller möglicherweise nur mit den Schultern zucken und die Aktualisierung von PCs verweigern, die erst einige Jahre alt sind. Und selbst wenn Hersteller Updates veröffentlichen, sind diese Updates oft auf der Support-Website des Herstellers verborgen. Die meisten PC-Benutzer werden diese UEFI-Firmware-Aktualisierungen nie entdecken und installieren, so dass diese Fehler lange Zeit in vorhandenen PCs vorhanden sind. Bei einigen Herstellern müssen Sie jedoch immer noch Firmware-Aktualisierungen installieren, indem Sie zuerst in DOS booten. Dies macht es besonders kompliziert.
Was machen die Leute dagegen?
Das ist ein Durcheinander. Wir brauchen einen rationalisierten Prozess, bei dem Hersteller neue UEFI-Firmware-Updates einfacher erstellen können. Wir brauchen auch einen besseren Prozess für die Veröffentlichung dieser Updates, damit Benutzer sie automatisch auf ihren PCs installieren können. Im Moment ist der Prozess langsam und manuell - es sollte schnell und automatisch sein.
Genau das versucht Microsoft mit Project Mu. So erklärt es die offizielle Dokumentation:
Mu basiert auf der Idee, dass der Versand und die Wartung eines UEFI-Produkts eine ständige Zusammenarbeit zwischen zahlreichen Partnern ist. Zu lange hat die Industrie Produkte mit einem "forking" -Modell in Kombination mit "Kopieren / Einfügen / Umbenennen" erstellt. Mit jedem neuen Produkt steigt der Wartungsaufwand so an, dass Aktualisierungen aufgrund von Kosten und Risiken nahezu unmöglich sind.
Project Mu hilft PC-Herstellern dabei, UEFI-Aktualisierungen schneller zu erstellen und zu testen, indem der UEFI-Entwicklungsprozess optimiert und alle zusammenarbeiten können. Hoffentlich ist dies das fehlende Teil, da Microsoft es bereits für PC-Hersteller vereinfacht hat, ihre UEFI-Firmware-Updates automatisch an Benutzer zu senden.
Microsoft ermöglicht PC-Herstellern insbesondere, Firmware-Updates über Windows Update herauszugeben, und stellt seit mindestens 2017 Dokumentation zur Verfügung. Microsoft kündigte auch Component Firmware Update an; ein Open-Source-Modell, mit dem Hersteller UEFI und andere Firmware aktualisieren können, im Oktober 2018. Wenn sich PC-Hersteller damit einverstanden erklären, können sie Firmware-Updates für alle Benutzer sehr schnell bereitstellen.
Dies ist nicht nur eine Sache von Windows. Unter Linux versuchen Entwickler, PC-Herstellern die Veröffentlichung von UEFI-Updates mit LVFS, dem Linux Vendor Firmware Service, zu erleichtern. PC-Hersteller können ihre Aktualisierungen einreichen und werden in der GNOME-Softwareanwendung, die auf Ubuntu und vielen anderen Linux-Distributionen verwendet wird, zum Herunterladen angezeigt. Diese Bemühungen reichen bis 2015 zurück. PC-Hersteller wie Dell und Lenovo sind daran beteiligt.
Diese Lösungen für Windows und Linux betreffen nicht nur UEFI-Updates. Hardwarehersteller könnten damit zukünftig alles von der USB-Maus-Firmware auf die Firmware für Solid-State-Laufwerke aktualisieren.
Wie SwiftOnSecurity in Bezug auf die Probleme mit der Firmware und Verschlüsselung von Solid-State-Laufwerken ausdrückte, können Firmware-Updates zuverlässig sein. Wir müssen von den Hardwareherstellern besser erwarten.
Firmware-Updates können zuverlässig sein. Ich habe mindestens 3.000 Dell-BIOS-Updates mit nur einem Fehler initiiert, und der alte PC war bereits für den Ausfall im Einsatz.
Überdenken Sie, was Sie für unmöglich halten. Firmware-Wartung ist nicht unmöglich oder riskant. Es erfordert eine bessere Nachfrage.
- SwiftOnSecurity (@SwiftOnSecurity) 6. November 2018
Bildnachweis: Intel, Natascha Eibl, Kubais / Shutterstock.com.