Společnost Microsoft nedávno představila Projekt Mu, jehož cílem je nabídnout „firmware jako službu“ na kompatibilním hardwaru. Tato iniciativa by neměla uniknout pozornosti žádného výrobce PC. Aktualizace zabezpečení firmwaru UEFI jsou pro počítače klíčové, a dosavadní přístup výrobců k jejich poskytování nebyl ideální.
Co je to firmware UEFI?
Současné počítače využívají firmware UEFI jako náhradu tradičního systému BIOS. UEFI je nízkoúrovňový software, který se aktivuje při zapnutí počítače. Provádí testování a inicializaci hardwaru, konfiguraci systému na základní úrovni a následně spouští operační systém z interního disku nebo jiného bootovacího zařízení.
UEFI je však komplexnější než zastaralý BIOS. Například počítače s procesory Intel obsahují tzv. Intel Management Engine, což je v podstatě malý operační systém, který funguje paralelně s Windows, Linuxem nebo jakýmkoli jiným operačním systémem. V podnikových sítích mohou administrátoři využívat funkce Intel ME pro vzdálenou správu počítačů.
UEFI zahrnuje také „mikrokód“ procesoru, jakýsi firmware pro samotný procesor. Při spuštění počítače se mikrokód načítá z firmwaru UEFI. Funguje jako tlumočník, který převádí softwarové instrukce na hardwarové příkazy pro CPU.
Proč jsou aktualizace zabezpečení firmwaru UEFI nutné?
Poslední roky opakovaně ukázaly, že včasné aktualizace zabezpečení firmwaru UEFI jsou nezbytné.
V roce 2018 jsme byli svědky odhalení zranitelnosti Spectre, která poukázala na vážné architektonické nedostatky moderních CPU. Problémy související s takzvaným „spekulativním prováděním“ umožňovaly programům obejít standardní bezpečnostní mechanismy a číst chráněné oblasti paměti. Opravy Spectre vyžadovaly aktualizace mikrokódu CPU. Výrobci PC tak museli aktualizovat všechny své notebooky a stolní počítače, a výrobci základních desek museli aktualizovat všechny své základní desky novým firmwarem UEFI obsahujícím opravený mikrokód. Pokud jste neprovedli aktualizaci firmwaru UEFI, váš počítač není před hrozbou Spectre chráněn. Společnost AMD také vydala aktualizace mikrokódu pro systémy s procesory AMD, takže se nejedná o problém pouze procesorů Intel.
Intel Management Engine byl zasažen bezpečnostními chybami, které umožnily útočníkům s místním přístupem narušit software Management Engine nebo způsobit problémy útočníkům s vzdáleným přístupem. Naštěstí se vzdálené exploity týkaly pouze firem, které aktivovaly technologii Intel Active Management Technology (AMT), takže běžní uživatelé nebyli zasaženi.
Toto je jen pár příkladů. Vědci prokázali, že je možné zneužít firmware UEFI na některých počítačích pro získání hlubokého přístupu k systému. Dokonce předvedli perzistentní ransomware, který získal přístup k firmwaru UEFI počítače a spouštěl se odtud.
Průmysl by měl přistupovat k aktualizacím firmwaru UEFI stejně jako k aktualizacím jakéhokoli jiného softwaru, aby byl schopen chránit před těmito a podobnými problémy.
Jak byl proces aktualizace roky narušen?
Proces aktualizace systému BIOS byl vždy problematický, a to už před nástupem UEFI. Dříve se počítače dodávaly se starším systémem BIOS a možnost selhání byla menší. Výrobci počítačů mohli vydat pár aktualizací BIOSu pro řešení menších problémů, ale obvykle se doporučovalo aktualizaci neprovádět, pokud počítač fungoval správně. Aktualizace BIOSu se často prováděla z bootovacího disku DOS a existovaly příběhy o neúspěšných aktualizacích a zablokovaných počítačích, které už nebyly možné spustit.
Situace se změnila. Firmware UEFI je mnohem komplexnější a Intel v posledních letech vydal několik významných aktualizací, například mikrokódu CPU a Intel ME. Kdykoli Intel vydá takovou aktualizaci, jediná odpověď je „obraťte se na výrobce počítače“. Výrobce počítače, nebo výrobce základní desky, pokud jste si počítač sestavili sami, musí získat kód od Intelu a integrovat ho do nové verze firmwaru UEFI. Poté musí firmware otestovat. Tento proces musí každý výrobce opakovat pro každý prodávaný počítač, protože každý má jiný firmware UEFI. Je to taková manuální práce, která v minulosti způsobovala problémy s aktualizací telefonů s Androidem.
V praxi to znamená, že získání kritických bezpečnostních aktualizací přes UEFI trvá mnoho měsíců. Někteří výrobci mohou odmítnout aktualizovat i počítače, které jsou jen pár let staré. I když výrobci aktualizace vydají, často je najdete pouze pohřbené na webových stránkách podpory. Většina uživatelů počítačů se o aktualizacích firmwaru UEFI nedozví a neinstaluje je, a tak tyto chyby zůstávají v počítačích dlouhou dobu. Někteří výrobci dokonce vyžadují spouštění do DOSu pro aktualizaci firmwaru, což celý proces ještě více komplikuje.
Co s tím lidé dělají?
Je to problém. Potřebujeme zjednodušený proces, který výrobcům usnadní vytváření aktualizací firmwaru UEFI. Potřebujeme také lepší systém pro distribuci aktualizací, aby si je uživatelé mohli automaticky nainstalovat. Současný proces je pomalý a manuální, měl by být rychlý a automatický.
Microsoft se snaží tento problém řešit pomocí Projektu Mu. Oficiální dokumentace to vysvětluje takto:
Mu je založeno na myšlence, že distribuce a údržba produktu UEFI je trvalá spolupráce mezi mnoha partnery. Příliš dlouho průmysl vyráběl produkty pomocí modelu „forking“ kombinovaného s kopírováním/vkládáním/přejmenováním a s každým novým produktem roste zátěž údržby na takovou úroveň, že aktualizace jsou téměř nemožné kvůli nákladům a riziku.
Projekt Mu má za cíl pomoci výrobcům PC rychleji vytvářet a testovat aktualizace UEFI zjednodušením procesu vývoje UEFI a podporou spolupráce. Doufejme, že se jedná o chybějící článek, protože Microsoft už výrobcům počítačů usnadnil automatické zasílání aktualizací firmwaru UEFI uživatelům.
Konkrétně Microsoft umožňuje výrobcům PC distribuovat aktualizace firmwaru prostřednictvím Windows Update a poskytuje k tomu dokumentaci minimálně od roku 2017. Společnost Microsoft také představila aktualizace firmwaru komponent; model s otevřeným zdrojovým kódem, který mohou výrobci použít k aktualizaci UEFI a dalšího firmwaru. Pokud se do toho výrobci počítačů pustí, mohou velmi rychle distribuovat aktualizace firmwaru všem svým uživatelům.
Tento problém se netýká jen Windows. V Linuxu se vývojáři snaží výrobcům PC usnadnit vydávání aktualizací UEFI pomocí LVFS, Linux Vendor Firmware Service. Prodejci PC mohou odeslat aktualizace, které se pak objeví ke stažení v aplikaci GNOME Software, kterou používá Ubuntu a mnoho dalších distribucí Linuxu. Toto úsilí se datuje do roku 2015. Účastní se ho i výrobci počítačů jako Dell a Lenovo.
Tato řešení pro Windows a Linux nemají vliv jen na aktualizace UEFI. Výrobci hardwaru by je mohli v budoucnu používat k aktualizaci firmwaru USB myši, SSD a dalších zařízení.
Jak uvádí SwiftOnSecurity ohledně problémů s firmwarem SSD a šifrováním, aktualizace firmwaru mohou být spolehlivé. Měli bychom od výrobců hardwaru očekávat lepší.
Aktualizace firmwaru mohou být spolehlivé. Spustil jsem nejméně 3 000 aktualizací BIOSu Dell s jediným selháním a tento starý počítač již byl v provozu pro selhání.
Přemýšlejte o tom, co si myslíte, že je nemožné. Servis firmwaru není nemožný ani riskantní. Vyžaduje to, aby lidé požadovali lepší.
— SwiftOnSecurity (@SwiftOnSecurity) 6. listopadu 2018
Zdroje obrázků: Intel, Natascha Eibl, kubais/Shutterstock.com.