Página principal » cómo » ¿Por qué el firmware UEFI de su PC necesita actualizaciones de seguridad?

    ¿Por qué el firmware UEFI de su PC necesita actualizaciones de seguridad?

    Microsoft acaba de anunciar Project Mu, que promete "firmware como servicio" en el hardware compatible. Todos los fabricantes de PC deben tomar nota. Las PC necesitan actualizaciones de seguridad para su firmware UEFI, y los fabricantes de PC han hecho un mal trabajo al entregarlas.

    ¿Qué es el firmware UEFI??

    Las PC modernas utilizan el firmware UEFI en lugar de un BIOS tradicional. El firmware de UEFI es el software de bajo nivel que se inicia cuando inicia su PC. Prueba e inicializa su hardware, realiza algunas configuraciones de sistema de bajo nivel y luego inicia un sistema operativo desde la unidad interna de su computadora u otro dispositivo de inicio.

    Sin embargo, UEFI es un poco más complicado que el software BIOS anterior. Por ejemplo, las computadoras con procesadores Intel tienen algo llamado Intel Management Engine, que es básicamente un pequeño sistema operativo. Se ejecuta en paralelo a Windows, Linux o cualquier sistema operativo que esté ejecutando en su computadora. En las redes corporativas, los administradores de sistemas pueden usar las funciones de Intel ME para administrar sus computadoras de manera remota.

    UEFI también contiene el "microcódigo" del procesador, que es como un firmware para su procesador. Cuando su computadora arranca, carga el microcódigo del firmware UEFI. Piense en ello como un intérprete que traduce las instrucciones del software a las instrucciones de hardware realizadas en la CPU..

    Por qué el firmware de UEFI necesita actualizaciones de seguridad

    Los últimos años han demostrado una y otra vez por qué el firmware de UEFI necesita actualizaciones de seguridad oportunas.

    Todos aprendimos sobre Spectre en 2018, mostrando los serios problemas de arquitectura con las CPU modernas. Los problemas con algo llamado "ejecución especulativa" significaban que los programas podían escapar de las restricciones de seguridad estándar y leer las áreas seguras de la memoria. Las correcciones a Specter requerían actualizaciones de microcódigo de la CPU para funcionar correctamente. Eso significa que los fabricantes de PC tuvieron que actualizar todas sus computadoras portátiles y de escritorio, y los fabricantes de placas base tuvieron que actualizar todas sus placas base con el nuevo firmware UEFI que contiene el microcódigo actualizado. Su PC no está protegida adecuadamente contra Specter a menos que haya instalado una actualización de firmware UEFI. AMD también lanzó actualizaciones de microcódigo para proteger los sistemas con procesadores AMD de ataques Specter, por lo que esto no es solo una cosa de Intel.

    El motor de administración de Intel ha visto algunos errores de seguridad que podrían permitir que los atacantes con acceso local a la computadora descifren el software del motor de administración o que un atacante con acceso remoto cause problemas. Afortunadamente, las explotaciones remotas solo afectaron a las empresas que habían habilitado la Tecnología de administración activa Intel (AMT), por lo que los consumidores promedio no se vieron afectados.

    Estos son solo algunos ejemplos. Los investigadores también han demostrado que es posible abusar del firmware UEFI en algunas PC, usándolo para obtener un acceso profundo al sistema. Incluso han demostrado un ransomware persistente que obtuvo acceso al firmware UEFI de una computadora y se ejecutó desde allí.

    La industria debería actualizar el firmware UEFI de cada computadora como cualquier otro software para ayudar a proteger contra estos problemas y fallas similares en el futuro.

    Cómo se ha roto el proceso de actualización durante años

    El proceso de actualización de la BIOS ha sido un desastre desde siempre desde mucho antes de la UEFI. Tradicionalmente, las computadoras se envían con ese BIOS de la vieja escuela, y menos podrían salir mal. Los fabricantes de PC pueden enviar algunas actualizaciones de BIOS para solucionar problemas menores, pero el consejo habitual es evitar la instalación si su PC funciona correctamente. A menudo tenía que arrancar desde una unidad de arranque de DOS para actualizar la actualización del BIOS, y todos escucharon historias de fallas en las actualizaciones del BIOS y las computadoras que hacen bricking, lo que hace que no puedan iniciarse.

    Las cosas han cambiado. El firmware UEFI hace mucho más, e Intel ha lanzado varias grandes actualizaciones a cosas como el microcódigo de la CPU y el Intel ME en los últimos años. Cada vez que Intel lanza dicha actualización, todo lo que Intel puede hacer es decir "pregunte al fabricante de su computadora". El fabricante de su computadora, o el fabricante de la placa base, si usted construyó su propia PC, tiene que tomar el código de Intel e integrarlo en un nuevo firmware UEFI. versión. Luego tienen que probar el firmware. Ah, y cada fabricante tiene que repetir este proceso para cada PC individual que venden, ya que todos tienen un firmware UEFI diferente. Es el tipo de trabajo manual que hizo que los teléfonos Android sean tan difíciles de actualizar en el pasado.

    En la práctica, esto significa que a menudo lleva mucho tiempo, muchos meses, obtener actualizaciones de seguridad críticas que se deben entregar a través de UEFI. Significa que los fabricantes podrían encogerse de hombros y negarse a actualizar las PC que tienen apenas unos años. Y, incluso cuando los fabricantes lanzan actualizaciones, esas actualizaciones a menudo están ocultas en el sitio web de soporte de ese fabricante. La mayoría de los usuarios de PC nunca descubrirán que existen actualizaciones de firmware UEFI e instalarlas, por lo que estos errores terminan viviendo en las PC existentes durante mucho tiempo. Y algunos fabricantes aún te hacen instalar actualizaciones de firmware iniciando DOS primero, solo para hacerlo más complicado.

    Lo que la gente está haciendo al respecto

    Eso es un desastre. Necesitamos un proceso simplificado en el que los fabricantes puedan crear más fácilmente nuevas actualizaciones de firmware UEFI. También necesitamos un mejor proceso para lanzar esas actualizaciones, para que los usuarios puedan instalarlas automáticamente en sus PC. En este momento el proceso es lento y manual, debería ser rápido y automático..

    Eso es lo que Microsoft está tratando de hacer con el Proyecto Mu. Así es como la documentación oficial lo explica:

    Mu se basa en la idea de que enviar y mantener un producto UEFI es una colaboración continua entre numerosos socios. Durante demasiado tiempo, la industria ha desarrollado productos utilizando un modelo de "bifurcación" combinado con copiar / pegar / renombrar y con cada nuevo producto la carga de mantenimiento aumenta a un nivel tal que las actualizaciones son casi imposibles debido al costo y riesgo..

    Project Mu se trata de ayudar a los fabricantes de PC a crear y probar las actualizaciones de UEFI más rápido al agilizar el proceso de desarrollo de UEFI y ayudar a todos a trabajar juntos. Con suerte, esta es la pieza faltante, ya que Microsoft ya ha facilitado que los fabricantes de PC envíen sus actualizaciones de firmware UEFI a los usuarios automáticamente..

    Específicamente, Microsoft permite a los fabricantes de PC emitir actualizaciones de firmware a través de Windows Update y ha proporcionado documentación sobre esto desde al menos 2017. Microsoft también anunció la Actualización de firmware de componentes; un modelo de código abierto que los fabricantes pueden usar para actualizar UEFI y otro firmware, en octubre de 2018. Si los fabricantes de PC se suman a esto, podrían entregar actualizaciones de firmware a todos sus usuarios muy rápidamente.

    Esto no es solo una cosa de Windows, tampoco. En Linux, los desarrolladores intentan facilitar a los fabricantes de PC la publicación de actualizaciones UEFI con LVFS, el servicio de firmware de proveedores de Linux. Los proveedores de PC pueden enviar sus actualizaciones y aparecerán para descargarse en la aplicación de software GNOME, que se usa en Ubuntu y en muchas otras distribuciones de Linux. Este esfuerzo se remonta a 2015. Los fabricantes de PC como Dell y Lenovo están participando.

    Estas soluciones para Windows y Linux afectan más que solo las actualizaciones de UEFI, también. Los fabricantes de hardware podrían usarlos para actualizar todo, desde el firmware del mouse USB hasta el firmware de la unidad de estado sólido en el futuro.

    Como lo mencionó SwiftOnSecurity al hablar de los problemas con el cifrado y el firmware de las unidades de estado sólido, las actualizaciones de firmware pueden ser confiables. Necesitamos esperar mejor de los fabricantes de hardware..

    Las actualizaciones de firmware pueden ser confiables. He iniciado al menos 3.000 actualizaciones de Dell BIOS con solo una falla, y esa vieja PC ya estaba en servicio por fallar.

    Vuelve a pensar lo que piensas que es imposible. El servicio de firmware no es imposible ni arriesgado. Requiere que la gente exija mejor..

    - SwiftOnSecurity (@SwiftOnSecurity) 6 de noviembre de 2018

    Crédito de la imagen: Intel, Natascha Eibl, kubais / Shutterstock.com.