Waarom de UEFI-firmware van uw pc beveiligingsupdates nodig heeft

Microsoft heeft zojuist aangekondigd Project Mu, belooft “firmware as a service” op ondersteunde hardware. Elke pc-fabrikant moet er rekening mee houden. Pc’s hebben beveiligingsupdates nodig voor hun UEFI-firmware en pc-fabrikanten hebben deze slecht geleverd.

Wat is UEFI-firmware?

Moderne pc’s gebruiken UEFI-firmware in plaats van een traditioneel BIOS. De UEFI-firmware is de low-level software die wordt gestart wanneer u uw pc opstart. Het test en initialiseert uw hardware, voert een systeemconfiguratie op laag niveau uit en start vervolgens een besturingssysteem op vanaf de interne schijf van uw computer of een ander opstartapparaat.

UEFI is echter iets gecompliceerder dan de oudere BIOS-software. Computers met Intel-processors hebben bijvoorbeeld iets dat de Intel Management Engine wordt genoemd, wat in feite een klein besturingssysteem is. Het werkt parallel aan Windows, Linux of welk besturingssysteem dan ook dat u op uw computer gebruikt. Op bedrijfsnetwerken kunnen systeembeheerders functies in de Intel ME gebruiken om hun computers op afstand te beheren.

UEFI bevat ook processor “microcode”, wat een beetje lijkt op firmware voor uw processor. Wanneer uw computer opstart, laadt deze microcode van de UEFI-firmware. Zie het als een tolk die software-instructies vertaalt naar hardware-instructies die op de CPU worden uitgevoerd.

Waarom UEFI-firmware beveiligingsupdates nodig heeft

De afgelopen jaren hebben keer op keer aangetoond waarom UEFI-firmware tijdige beveiligingsupdates nodig heeft.

We leerden allemaal over Spectre in 2018, wat de ernstige architecturale problemen met moderne CPU’s liet zien. Problemen met iets dat “speculatieve uitvoering” wordt genoemd, betekenden dat programma’s konden ontsnappen aan standaard beveiligingsbeperkingen en beveiligde geheugengebieden konden lezen. Oplossingen voor Spectre vereisten CPU-microcode-updates om correct te werken. Dat betekent dat pc-fabrikanten al hun laptop- en desktop-pc’s moesten updaten – en moederbordfabrikanten moesten al hun moederborden updaten – met nieuwe UEFI-firmware met de bijgewerkte microcode. Je pc is niet voldoende beschermd tegen Spectre, tenzij je een UEFI-firmware-update hebt geïnstalleerd. AMD heeft ook microcode-updates uitgebracht om systemen met AMD-processors te beschermen tegen Spectre-aanvallen, dus dit is niet alleen iets van Intel.

  Hoe u uw Synology NAS kunt beveiligen tegen ransomware

Intel’s Management Engine heeft wat gezien: beveiligingsfouten waardoor aanvallers met lokale toegang tot de computer de Management Engine-software kunnen kraken, of een aanvaller met externe toegang problemen kunnen veroorzaken. Gelukkig troffen de externe exploits alleen bedrijven die Intel Active Management Technology (AMT) hadden ingeschakeld, dus gemiddelde consumenten werden niet getroffen.

Dit zijn slechts enkele voorbeelden. Onderzoekers hebben ook aangetoond dat het mogelijk is om de UEFI-firmware op sommige pc’s te misbruiken en deze te gebruiken om diepgaande toegang tot het systeem te krijgen. Ze hebben zelfs gedemonstreerd aanhoudende ransomware die toegang kreeg tot de UEFI-firmware van een computer en vanaf daar liep.

De industrie zou de UEFI-firmware van elke computer moeten updaten, net als elke andere software om in de toekomst te helpen beschermen tegen deze problemen en soortgelijke gebreken.

Hoe het updateproces jarenlang is mislukt

Het BIOS-updateproces is voor altijd een puinhoop geweest – al lang vóór UEFI. Traditioneel werden computers geleverd met dat ouderwetse BIOS, en er kon minder fout gaan. Pc-fabrikanten kunnen een paar BIOS-updates leveren om kleine problemen op te lossen, maar het gebruikelijke advies was om deze niet te installeren als uw pc goed werkte. Je moest vaak opstarten vanaf een opstartbare DOS-schijf om de BIOS-update te flashen, en iedereen hoorde verhalen over BIOS-updates die faalden en pc’s dichtgooiden, waardoor ze niet meer konden worden opgestart.

Dingen zijn veranderd. UEFI-firmware doet veel meer, en Intel heeft de afgelopen jaren verschillende grote updates uitgebracht voor zaken als CPU-microcode en de Intel ME. Telkens wanneer Intel een dergelijke update uitbrengt, kan Intel alleen maar zeggen “vraag het uw computerfabrikant”. Je computerfabrikant (of moederbordfabrikant, als je je eigen pc hebt gebouwd) moet de code van Intel overnemen en integreren in een nieuwe UEFI-firmwareversie. Ze moeten dan de firmware testen. Oh, en elke fabrikant moet dit proces herhalen voor elke individuele pc die ze verkopen, omdat ze allemaal verschillende UEFI-firmware hebben. Het is het soort handwerk dat Android-telefoons in het verleden zo moeilijk maakte om te updaten.

  Hoe u kunt zien waarom Apple uw creditcard belast?

In de praktijk betekent dit dat het vaak lang duurt – vele maanden – om kritieke beveiligingsupdates te krijgen die via UEFI moeten worden geleverd. Het betekent dat fabrikanten hun schouders ophalen en weigeren pc’s bij te werken die slechts een paar jaar oud zijn. En zelfs als fabrikanten updates uitbrengen, worden die updates vaak begraven op de ondersteuningswebsite van die fabrikant. De meeste pc-gebruikers zullen nooit ontdekken dat die UEFI-firmware-updates bestaan ​​en ze niet installeren, dus deze bugs blijven lange tijd op bestaande pc’s voortleven. En sommige fabrikanten laten u nog steeds firmware-updates installeren door eerst in DOS op te starten, alleen om het extra ingewikkeld te maken.

Wat mensen eraan doen?

Dat is een puinhoop. We hebben een gestroomlijnd proces nodig waarbij fabrikanten gemakkelijker nieuwe UEFI-firmware-updates kunnen maken. We hebben ook een beter proces nodig voor het vrijgeven van die updates, zodat gebruikers ze automatisch op hun pc kunnen installeren. Op dit moment is het proces traag en handmatig – het zou snel en automatisch moeten zijn.

Dat is wat Microsoft probeert te doen met Project Mu. Hier is hoe de officiële documentatie legt het uit:

Mu is gebouwd rond het idee dat het verzenden en onderhouden van een UEFI-product een voortdurende samenwerking is tussen talloze partners. De industrie heeft te lang producten gebouwd met behulp van een “forking”-model in combinatie met kopiëren/plakken/hernoemen en met elk nieuw product groeit de onderhoudslast tot een zodanig niveau dat updates bijna onmogelijk zijn vanwege de kosten en risico’s.

Bij Project Mu draait alles om het helpen van pc-fabrikanten om UEFI-updates sneller te maken en te testen door het UEFI-ontwikkelingsproces te stroomlijnen en iedereen te helpen samenwerken. Hopelijk is dit het ontbrekende stuk, aangezien Microsoft het voor pc-fabrikanten al gemakkelijker heeft gemaakt om hun UEFI-firmware-updates automatisch naar gebruikers te sturen.

  Wat kan ik doen met mijn oude iPhone?

Microsoft laat met name pc-fabrikanten firmware-updates uitgeven via Windows Update en heeft hierover sinds ten minste 2017 documentatie verstrekt. Microsoft heeft ook aangekondigd Firmware-update van componenten; een open-sourcemodel dat fabrikanten in oktober 2018 kunnen gebruiken om UEFI en andere firmware bij te werken. Als pc-fabrikanten hiermee aan de slag gaan, kunnen ze heel snel firmware-updates aan al hun gebruikers leveren.

Dit is ook niet alleen een Windows-ding. Op Linux proberen ontwikkelaars het voor pc-fabrikanten gemakkelijker te maken om UEFI-updates uit te geven met LVFS, de Linux Vendor Firmware Service. Pc-leveranciers kunnen hun updates indienen en ze verschijnen om te downloaden in de GNOME Software-applicatie, die wordt gebruikt op Ubuntu en vele andere Linux-distributies. Deze inspanning dateert van 2015. PC-fabrikanten houden van: Dell en Lenovo doen mee.

Deze oplossingen voor Windows en Linux zijn ook van invloed op meer dan alleen UEFI-updates. Hardwarefabrikanten zouden ze kunnen gebruiken om in de toekomst alles bij te werken, van USB-muisfirmware tot solid-state drive-firmware.

Als SwiftOnSecurity stel het als we het hebben over de problemen met solid-state drive-firmware en codering, firmware-updates kunnen betrouwbaar zijn. Van hardwarefabrikanten moeten we beter verwachten.

Firmware-updates kunnen betrouwbaar zijn. Ik heb ten minste 3.000 Dell BIOS-updates gestart met slechts één storing, en die oude pc was al in gebruik vanwege een storing.

Heroverweeg wat je denkt dat onmogelijk is. Firmware-onderhoud is niet onmogelijk of riskant. Het vereist dat mensen beter eisen.

— SwiftOnSecurity (@SwiftOnSecurity) 6 november 2018

Afbeelding tegoed: Intel, Natascha Eibl, Kubais/Shutterstock.com.

gerelateerde berichten