Обновить безопасность UEFI можно будет через Windows 10

Microsoft недавно анонсировала Project Mu, обещая «прошивку как сервис» на поддерживаемом оборудовании. Каждый производитель ПК должен принять это к сведению. Ведь все компьютеры нуждаются в обновлениях безопасности для своих прошивок UEFI, а производители ПК плохо их поставляют.

Что такое прошивка UEFI

Современные ПК используют прошивку UEFI вместо традиционного BIOSПрошивка UEFI – это низкоуровневое программное обеспечение, которое запускается при загрузке компьютера. Она тестирует и инициализирует ваше оборудование, выполняет низкоуровневую настройку системы, а затем загружает операционную систему с внутреннего диска вашего компьютера или другого загрузочного устройства.

Положение прошивки UEFI при загрузке Windows

Тем не менее, UEFI немного сложнее, чем старое программное обеспечение BIOS. Например, компьютеры с процессорами Intel имеют то, что называется Intel Management Engine, который представляет собой крошечную операционную систему. Он работает параллельно с Windows, Linux или любой другой операционной системой, установленной на вашем компьютере. В корпоративных сетях системные администраторы могут использовать функции Intel ME для удаленного управления своими компьютерами.

UEFI также содержит «микрокод» процессора , который является своего рода прошивкой для вашего процессора. Когда ваш компьютер загружается, он загружает микрокод из прошивки UEFI. Думайте об этом как о переводчике, который переводит программные инструкции в аппаратные инструкции, выполняемые на процессоре.

Почему для прошивки UEFI требуются обновления

Последние несколько лет вновь показали, почему прошивка UEFI нуждается в регулярных обновлениях безопасности.

Все мы узнали о Spectre в 2018 году, – угроза, которая продемонстрировала серьёзные архитектурные проблемы с современными процессорами. Проблемы с, так называемым, «умозрительным исполнением» означали, что программы могли избежать стандартных ограничений безопасности и считывать защищенные области памяти.

Угроза Spectre для процессоров навела много шуму в мире IT

Исправления против Spectre требовали корректного обновления микрокода процессора. Это означает, что производители ПК должны были обновить все свои ноутбуки и настольные ПК, а производители материнских плат должны были обновить все свои материнские платы – с помощью новой прошивки UEFI, содержащей обновленный микрокод. Ваш компьютер недостаточно защищен от Spectre, если вы не установили обновление прошивки UEFI.

AMD также выпустила обновления микрокодов для защиты систем с процессорами AMD от атак Spectre, так что это не только проблема Intel.

Intel Management Engine обнаружил некоторые ошибки безопасности, которые могли либо позволить злоумышленникам с локальным доступом к компьютеру взломать программное обеспечение Management Engine, либо позволить злоумышленнику с удаленным доступом вызвать ошибку. К счастью, удаленные эксплойты затронули только те компании, которые включили технологию Intel Active Management (AMT), поэтому обычные потребители не пострадали.

Это всего лишь несколько примеров. Исследователи также показали, что на некоторых ПК можно злоупотреблять прошивкой UEFI, используя её для получения глубокого доступа к системе. Они даже продемонстрировали вымогателя, который получил доступ к прошивке UEFI компьютера.

Индустрия должна обновлять прошивку UEFI каждого компьютера, как и любое другое программное обеспечение, чтобы защитить пользователей от этих проблем и подобных ошибок в будущем.

Как процесс обновления превратился в хаос

Процесс обновления BIOS был проблемой всегда – задолго до UEFI. Традиционно компьютеры поставлялись с устаревшим BIOS. Производители ПК выкладывали несколько обновлений BIOS для устранения незначительных проблем, но обычно советовали избегать их установки, если ваш ПК работает нормально. Часто приходилось загружаться с загрузочного диска DOS, чтобы прошить обновление BIOS, и все слышали истории о сбоях обновлений BIOS и сбоях ПК, что делало их не загружаемыми.

Времена изменились. Прошивка UEFI способна на большее, и Intel выпустила несколько крупных обновлений для таких вещей, как микрокод процессора и Intel ME, за последние несколько лет. Всякий раз, когда Intel выпускает такое обновление, всё, что Intel может сделать, это сказать «обратитесь к производителю вашего компьютера».

Производитель вашего компьютера – или производитель материнских плат, если вы собирали свой собственный ПК – должен взять код от Intel и интегрировать его в новую прошивку UEFI. Затем он должен проверить прошивку. Более того, каждый производитель должен повторить этот процесс для каждого отдельного ПК, который они продают, так как все они имеют разные прошивки UEFI.

Именно такая ручная работа делала Android-телефоны настолько сложными для обновления в прошлом.

На практике это означает, что получение критических обновлений безопасности, которые должны доставляться через UEFI, часто занимает много времени – много месяцев. Это означает, что производители могут пожать плечами и отказаться от обновления ПК, которым всего несколько лет. И даже когда производители выпускают обновления, эти обновления часто скрываются на веб-сайте поддержки этого производителя. Большинство пользователей ПК никогда их не найдёт. Другие производители всё ещё заставляют устанавливать обновления прошивки, загружаясь сначала в DOS – что невообразимо для обычного пользователя компьютера.

Что Microsoft сделает с этим

Это превратилось в хаос. Нам нужен упорядоченный процесс, в котором производителям могут легко создавать новые обновления прошивки UEFI. Нам также нужен более эффективный процесс выпуска этих обновлений, чтобы пользователи могли автоматически устанавливать их на своих ПК.

Это то, что Microsoft пытается сделать в Project Mu. Вот как это объясняется в официальной документации:

Mu основан на идее, что доставка и обслуживание продукта UEFI – это постоянное сотрудничество между многочисленными партнерами. Слишком долго отрасль создавала продукты, используя модель «разветвления» в сочетании с копированием / вставкой / переименованием, и с каждым новым продуктом нагрузка на обслуживание возрастает до такого уровня, что обновления практически невозможны из-за стоимости и риска.

Project Mu поможет производителям ПК быстрее создавать и тестировать обновления UEFI, оптимизируя процесс разработки UEFI и помогая всем работать вместе. Надеемся, что это недостающий элемент, так как Microsoft уже упростила для производителей ПК автоматическую отправку обновлений встроенного ПО UEFI пользователям.

В частности, Microsoft разрешает производителям ПК выпускать обновления прошивки через Центр обновления Windows и предоставляет документацию по этому вопросу как минимум с 2017 года. Microsoft также объявила об обновлении прошивки компонентов; модель с открытым исходным кодом, которую производители могут использовать для обновления UEFI и других прошивок, ещё с октября 2018 года. Если производители ПК получат эту возможность, они смогут очень быстро доставлять обновления прошивки всем своим пользователям.

Это касается не только Windows. В Linux разработчики пытаются упростить для производителей ПК выпуск обновлений UEFI с помощью LVFS, службы встроенного ПО Linux Vendor. Поставщики ПК могут представить свои обновления, и они появятся для загрузки в приложении GNOME Software, которое используется в Ubuntu и многих других дистрибутивах Linux. Эта работа началась в 2015 году. Участвуют такие производители ПК, как Dell и Lenovo.

Эти решения для Windows и Linux влияют не только на обновления UEFI. Производители оборудования могут использовать их для обновления всего, от прошивки мыши до прошивки твердотельного накопителя.


 5.0/5