Microsoft acaba de anunciar el proyecto MU, prometiendo «firmware como servicio» en el hardware compatible. Cada fabricante de PC debe considerar esto. Las PC necesitan actualizaciones de seguridad para su firmware de UEFI, y los fabricantes de PC están haciendo un mal trabajo al entregarlas.
¿Qué es el firmware de UEFI?
Las PC modernas usan firmware UEFI en lugar de un BIOS tradicional. El firmware de la UEFI es un software de bajo nivel que se ejecuta cuando su computadora se arranca. Prueba e inicializa su hardware, realiza una configuración del sistema de bajo nivel y luego carga el sistema operativo desde la unidad interna de su computadora u otro dispositivo de arranque.
Sin embargo, UEFI es un poco más complicado que el antiguo software BIOS. Por ejemplo, las computadoras con procesadores Intel tienen lo que se llama Intel Management Engine, que es esencialmente un pequeño sistema operativo. Se ejecuta en paralelo con Windows, Linux o cualquier otro sistema operativo instalado en su computadora. En las redes corporativas, los administradores del sistema pueden usar funciones de Intel Me para administrar de forma remota sus computadoras.
UEFI también contiene el «microcódigo» del procesador, un tipo de firmware para su procesador. Cuando su computadora arrugas, carga el microcódigo del firmware de UEFI. Piense en ello como un intérprete que traduce las instrucciones de software en instrucciones de hardware ejecutadas por el procesador
Por qué el firmware de UEFI requiere actualizaciones de seguridad
Los últimos años han demostrado una y otra vez por qué el firmware de UEFI requiere actualizaciones de seguridad oportunas.
Todos aprendimos sobre Spectre en 2018, demostrando serios problemas arquitectónicos con procesadores modernos. Los problemas con la llamada «ejecución especulativa» significaban que los programas podían evitar las restricciones de seguridad estándar y leer áreas de memoria protegidas. Las correcciones para las actualizaciones requeridas por Spectre al microcódigo del procesador funcionan correctamente. Esto significaba que los fabricantes de PC tenían que actualizar todas sus computadoras portátiles y computadoras de escritorio, y los fabricantes de placas base tenían que actualizar todas sus placas base, con un nuevo firmware de UEFI que contenía el microcódigo actualizado. Su computadora no está suficientemente protegida contra Spectre si no ha instalado la actualización de firmware de UEFI. AMD también ha publicado actualizaciones de microcódigos para proteger los sistemas con procesadores AMD de los ataques de Spectre, por lo que no solo se ve afectado Intel.
Intel Management Engine ha visto algunos errores de seguridad que esto podría permitir a los atacantes con acceso local a la computadora piratear el software de motor de administración, o permitir que un atacante con acceso remoto cause problemas. Afortunadamente, las hazañas remotas solo afectaron a las empresas que habilitaron la tecnología de gestión activa (AMT) de Intel, por lo que los consumidores regulares no se vieron afectados.
Estos son solo algunos ejemplos. Los investigadores también han demostrado la posibilidad de abusar del firmware de la UEFI en algunas PC, utilizándolo para obtener acceso profundo al sistema. Incluso demostraron un programa de ransomware persistente que accedió al firmware UEFI de una computadora y se lanzó desde allí.
La industria debe actualizar el firmware de la UEFI de cada computadora, al igual que cualquier otro software, para protegerse de estos problemas y defectos similares en el futuro.
Cómo se ha roto el proceso de actualización durante años
El proceso de actualización del BIOS siempre ha sido un desastre, mucho antes del advenimiento de la UEFI. Tradicionalmente, las PC venían con un BIOS de la vieja escuela, y menos podría fallar. Los fabricantes de PC pueden enviar algunas actualizaciones de BIOS para solucionar problemas menores, pero generalmente se les recomienda evitar instalarlos si su computadora funciona correctamente. A menudo ha tenido que arrancar desde un disco de arranque de DOS para flashear una actualización de BIOS, y todos han escuchado historias de actualizaciones de BIOS que faltan y bloquean las computadoras, lo que las hace imposibles de arrancar.
Los tiempos han cambiado. El firmware de UEFI hace mucho más, e Intel ha lanzado algunas actualizaciones importantes para cosas como CPU Microcode e Intel Me en los últimos años. Cada vez que Intel publica dicha actualización, todo lo que Intel puede hacer es decir «Pregunte a su fabricante de computadora». Su fabricante de computadora, o fabricante de placa base si construyó su propia computadora, debe tomar el código de Intel e integrarlo en la nueva versión del firmware de la UEFI. Luego tienen que probar el firmware. Sí, y cada fabricante tiene que repetir este proceso para cada PC que venden, porque todos tienen un firmware de UEFI diferente. Este es el tipo de trabajo manual que hizo que los teléfonos Android fueran tan difíciles de actualizar en el pasado.
En la práctica, esto significa que obtener actualizaciones críticas de seguridad se entregarán a través de UEFI a menudo lleva mucho tiempo, muchos meses. Esto significa que los fabricantes pueden encender sus hombros y negarse a actualizar computadoras que solo tienen unos pocos años. E incluso cuando los fabricantes realizan actualizaciones de lanzamiento, esas actualizaciones a menudo están ocultas en el sitio web de soporte de ese fabricante. La mayoría de los usuarios de PC nunca sabrán que estas actualizaciones de firmware de UEFI existen o las instalan, por lo que estos errores terminan persistiendo en las PC existentes durante mucho tiempo. Y algunos fabricantes aún lo obligan a instalar actualizaciones de firmware mediante el pulido previamente en DOS, solo para hacerlo más difícil.
Lo que la gente hace al respecto
Es un desastre. Necesitamos un proceso simplificado que facilite a los fabricantes crear nuevas actualizaciones de firmware de UEFI. También necesitamos un mejor proceso para lanzar estas actualizaciones para que los usuarios puedan instalarlas automáticamente en sus PC. En este momento, el proceso es lento y manual: debe ser rápido y automático.
Eso es lo que Microsoft está tratando de hacer con Project Mu. Así es como lo explica la documentación oficial:
MU se basa en la idea de que entregar y apoyar un producto UEFI es una colaboración continua entre múltiples socios. Durante demasiado tiempo, la industria ha creado productos utilizando un modelo de «ramificación» combinado con copia / pasta / cambio de nombre, y con cada nuevo producto, la carga de mantenimiento aumenta hasta el punto en que las actualizaciones son casi imposibles debido al costo y al riesgo.
El objetivo del Proyecto MU es ayudar a los fabricantes de PC a crear y probar actualizaciones de UEFI más rápido al optimizar el proceso de desarrollo de la UEFI y ayudar a todos a trabajar juntos. Con suerte, este es el elemento que falta, ya que Microsoft ya ha facilitado a los fabricantes de PC enviar automáticamente las actualizaciones de firmware de UEFI a los usuarios.
Específicamente, Microsoft está permitiendo a los fabricantes de PC lanzar actualizaciones de firmware a través del Windows Update Center y ha proporcionado documentación sobre cómo hacerlo desde al menos 2017. Microsoft también anunció la actualización de firmware de componentes; Un modelo de código abierto que los fabricantes pueden usar para actualizar UEFI y otros firmware en octubre de 2018. Si los fabricantes de PC se unen a esto, pueden entregar actualizaciones de firmware a todos sus usuarios muy rápidamente.
Tampoco es solo Windows. En Linux, los desarrolladores están tratando de facilitar que los fabricantes de PC lanzen actualizaciones de UEFI con LVFS, el servicio de firmware del proveedor de Linux. Los proveedores de PC pueden enviar sus actualizaciones, y aparecerán para descargar en la aplicación GNOME Software, que se utiliza en Ubuntu y muchas otras distribuciones de Linux. Este trabajo comenzó en 2015. Los fabricantes de PC como Dell y Lenovo están participando.
Estas soluciones de Windows y Linux no solo afectan las actualizaciones de UEFI. Los fabricantes de hardware pueden usarlos para actualizar todo, desde el firmware del mouse USB hasta el firmware SSD en el futuro.
En forma de SwiftonSecurity cuando se trata de problemas de firmware y cifrado SSD, las actualizaciones de firmware pueden ser robustas. Debe esperar lo mejor de los fabricantes de hardware.
Las actualizaciones de firmware pueden ser confiables. He iniciado al menos 3000 actualizaciones de BIOS Dell con solo una falla, y esa computadora antigua ya se estaba ejecutando debido a la falla.
Repensar lo que estás pensando es imposible. El mantenimiento del firmware no es imposible ni arriesgado. Requiere que las personas exijan mejor.
Crédito de la imagen: Intel, NatashaBle, Kubais/Shutterstock. com.
