マイクロソフトが発表したばかり プロジェクトミュー、サポートされているハードウェアでの「サービスとしてのファームウェア」を約束します。 すべてのPCメーカーは注意する必要があります。 PCはUEFIファームウェアのセキュリティ更新を必要としており、PCメーカーはそれらを提供するという不十分な仕事をしています。
UEFIファームウェアとは何ですか?
最近のPCは、従来のBIOSの代わりにUEFIファームウェアを使用しています。 UEFIファームウェアは、PCを起動したときに起動する低レベルのソフトウェアです。 ハードウェアをテストして初期化し、低レベルのシステム構成を行ってから、コンピューターの内蔵ドライブまたは別の起動デバイスからオペレーティングシステムを起動します。
ただし、UEFIは古いBIOSソフトウェアよりも少し複雑です。 たとえば、Intelプロセッサを搭載したコンピュータには、基本的に小さなオペレーティングシステムであるIntel ManagementEngineと呼ばれるものがあります。 これは、Windows、Linux、またはコンピューターで実行しているオペレーティングシステムと並行して実行されます。 企業ネットワークでは、システム管理者はIntel MEの機能を使用して、コンピューターをリモートで管理できます。
UEFIには、プロセッサのファームウェアのようなプロセッサ「マイクロコード」も含まれています。 コンピューターが起動すると、UEFIファームウェアからマイクロコードが読み込まれます。 ソフトウェア命令をCPUで実行されるハードウェア命令に変換するインタプリタのように考えてください。
UEFIファームウェアにセキュリティアップデートが必要な理由
過去数年間、UEFIファームウェアがタイムリーなセキュリティ更新を必要とする理由を何度も示してきました。
私たちは皆、2018年にスペクターについて学び、最新のCPUの深刻なアーキテクチャ上の問題を示しました。 「投機的実行」と呼ばれる問題は、プログラムが標準のセキュリティ制限を回避し、メモリの安全な領域を読み取る可能性があることを意味しました。 Spectreの修正では、正しく機能するためにCPUマイクロコードの更新が必要でした。 つまり、PCメーカーはすべてのラップトップPCとデスクトップPCを更新する必要があり、マザーボードメーカーはすべてのマザーボードを更新されたマイクロコードを含む新しいUEFIファームウェアで更新する必要がありました。 UEFIファームウェアアップデートをインストールしない限り、PCはSpectreから適切に保護されていません。 AMD また、AMDプロセッサを搭載したシステムをSpectre攻撃から保護するためのマイクロコードの更新もリリースされたため、これはIntelだけのものではありません。
Intelの管理エンジンはいくつかを見てきました セキュリティバグ これにより、コンピュータへのローカルアクセス権を持つ攻撃者がManagement Engineソフトウェアをクラックするか、リモートアクセス権を持つ攻撃者が問題を引き起こす可能性があります。 幸い、リモートエクスプロイトはIntel Active Management Technology(AMT)を有効にした企業にのみ影響を及ぼしたため、平均的な消費者は影響を受けませんでした。
これらはほんの一例です。 研究者はまた、システムへの深いアクセスを得るためにそれを使用して、一部のPCでUEFIファームウェアを悪用する可能性があることを示しました。 彼らも実証しました 永続的なランサムウェア それはコンピューターのUEFIファームウェアにアクセスし、そこから実行されました。
業界は、将来これらの問題や同様の欠陥から保護するために、他のソフトウェアと同じようにすべてのコンピューターのUEFIファームウェアを更新する必要があります。
更新プロセスが何年にもわたってどのように中断されてきたか
BIOSの更新プロセスは、UEFIのずっと前から、永遠に混乱してきました。 従来、コンピュータにはその旧式のBIOSが付属しており、問題が発生する可能性はほとんどありませんでした。 PCメーカーは、マイナーな問題を修正するためにいくつかのBIOSアップデートを出荷する場合がありますが、通常のアドバイスは、PCが正常に機能している場合はそれらをインストールしないようにすることでした。 多くの場合、BIOSアップデートをフラッシュするために起動可能なDOSドライブから起動する必要があり、BIOSアップデートが失敗してPCをブリックし、起動できなくなるという話を誰もが耳にしました。
世の中変わったんだよ。 UEFIファームウェアはさらに多くのことを実行し、Intelは過去数年間にCPUマイクロコードやIntelMEなどにいくつかの大きな更新をリリースしました。 インテルがそのようなアップデートをリリースするときはいつでも、インテルができることは「コンピューターの製造元に尋ねる」と言うことだけです。 コンピューターの製造元(または、独自のPCを構築した場合はマザーボードの製造元)は、Intelからコードを取得し、それを新しいUEFIファームウェアバージョンに統合する必要があります。 次に、ファームウェアをテストする必要があります。 ああ、そして各メーカーは、販売する個々のPCごとにこのプロセスを繰り返す必要があります。これは、すべてのPCが異なるUEFIファームウェアを使用しているためです。 これは、Android携帯を過去に更新するのを非常に困難にした一種の手作業です。
実際には、これは、UEFI経由で配信する必要のある重要なセキュリティ更新プログラムを取得するのに長い時間(数か月)かかることが多いことを意味します。 これは、メーカーが肩をすくめて、ほんの数年前のPCの更新を拒否する可能性があることを意味します。 また、メーカーがアップデートをリリースした場合でも、それらのアップデートはそのメーカーのサポートWebサイトに埋め込まれていることがよくあります。 ほとんどのPCユーザーは、これらのUEFIファームウェアアップデートが存在することを発見してインストールすることはないため、これらのバグは既存のPCに長期間存在することになります。 また、一部のメーカーは、DOSを最初に起動してファームウェアの更新をインストールするようにしていますが、これをさらに複雑にするためです。
人々はそれについて何をしているのか
それは混乱です。 メーカーが新しいUEFIファームウェアアップデートをより簡単に作成できる合理化されたプロセスが必要です。 また、ユーザーがPCに自動的にインストールできるように、これらの更新をリリースするためのより良いプロセスが必要です。 現在、プロセスは低速で手動です。高速で自動化されている必要があります。
これが、MicrosoftがProjectMuでやろうとしていることです。 これがその方法です 公式ドキュメント それを説明します:
Muは、UEFI製品の出荷と保守は、多数のパートナー間の継続的なコラボレーションであるという考えに基づいて構築されています。 業界は長い間、コピー/貼り付け/名前変更を組み合わせた「フォーク」モデルを使用して製品を構築してきました。新しい製品ごとに、コストとリスクのために更新がほぼ不可能になるレベルまでメンテナンスの負担が増大します。
Project Muは、UEFI開発プロセスを合理化し、全員が協力することで、PCメーカーがUEFIアップデートをより迅速に作成およびテストできるようにすることを目的としています。 うまくいけば、これは欠けている部分です。Microsoftは、PCメーカーがUEFIファームウェアアップデートをユーザーに自動的に送信することをすでに容易にしているからです。
具体的には、MicrosoftはPCメーカーに ファームウェアアップデートを発行する Windows Updateを通じて、少なくとも2017年からこれに関するドキュメントを提供しています。Microsoftも発表しました コンポーネントファームウェアの更新; 2018年10月に、メーカーがUEFIやその他のファームウェアを更新するために使用できるオープンソースモデル。PCメーカーがこれに参加すれば、すべてのユーザーにファームウェアの更新を非常に迅速に提供できます。
これもWindowsだけではありません。 Linuxでは、開発者はPCメーカーがUEFIアップデートを簡単に発行できるようにしようとしています。 LVFS、Linuxベンダーファームウェアサービス。 PCベンダーは更新を送信でき、Ubuntuや他の多くのLinuxディストリビューションで使用されているGNOMEソフトウェアアプリケーションにダウンロード用に表示されます。 この取り組みは2015年にさかのぼります。 デルとレノボ 参加しています。
WindowsおよびLinux向けのこれらのソリューションは、UEFIアップデートだけでなく影響も及ぼします。 ハードウェアメーカーは、将来的にUSBマウスファームウェアからソリッドステートドライブファームウェアまですべてを更新するためにそれらを使用する可能性があります。
NS SwiftOnSecurity ソリッドステートドライブのファームウェアと暗号化の問題について話すときは、ファームウェアの更新が信頼できるものになる可能性があります。 ハードウェアメーカーにもっと期待する必要があります。
ファームウェアの更新は信頼できます。 1回の障害で少なくとも3,000回のDellBIOSアップデートを開始しましたが、その古いPCはすでに障害が発生したために使用されていました。
不可能だと思うことを考え直してください。 ファームウェアのサービスは不可能でも危険でもありません。 それは人々がより良い要求をすることを要求します。
— SwiftOnSecurity(@SwiftOnSecurity) 2018年11月6日
画像クレジット: インテル、 ナターシャ・エイブル、 クバイス/Shutterstock.com。
