Microsoft acaba de anunciar Proyecto Mu, prometiendo «firmware como servicio» en hardware compatible. Todos los fabricantes de PC deberían tomar nota. Las PC necesitan actualizaciones de seguridad para su firmware UEFI, y los fabricantes de PC no han hecho un buen trabajo al entregarlas.
Tabla de contenido
¿Qué es el firmware UEFI?
Las PC modernas usan firmware UEFI en lugar de un BIOS tradicional. El firmware UEFI es el software de bajo nivel que se inicia cuando arranca su PC. Prueba e inicializa su hardware, realiza alguna configuración del sistema de bajo nivel y luego inicia un sistema operativo desde la unidad interna de su computadora u otro dispositivo de inicio.
Sin embargo, UEFI es un poco más complicado que el software BIOS anterior. Por ejemplo, las computadoras con procesadores Intel tienen algo llamado Intel Management Engine, que es básicamente un sistema operativo diminuto. Se ejecuta en paralelo a Windows, Linux o cualquier sistema operativo que esté ejecutando en su computadora. En las redes corporativas, los administradores del sistema pueden utilizar las funciones de Intel ME para administrar de forma remota sus computadoras.
UEFI también contiene un «microcódigo» de procesador, que es una especie de firmware para su procesador. Cuando su computadora arranca, carga el microcódigo del firmware UEFI. Piense en ello como un intérprete que traduce las instrucciones de software en instrucciones de hardware realizadas en la CPU.
Por qué el firmware UEFI necesita actualizaciones de seguridad
Los últimos años han demostrado una y otra vez por qué el firmware UEFI necesita actualizaciones de seguridad oportunas.
Todos aprendimos sobre Spectre en 2018, mostrando los serios problemas arquitectónicos con las CPU modernas. Los problemas con algo llamado «ejecución especulativa» significaban que los programas podían escapar de las restricciones de seguridad estándar y leer áreas seguras de la memoria. Las correcciones de Spectre requerían actualizaciones de microcódigo de la CPU para funcionar correctamente. Eso significa que los fabricantes de PC tuvieron que actualizar todas sus computadoras portátiles y de escritorio, y los fabricantes de placas base tuvieron que actualizar todas sus placas base, con un nuevo firmware UEFI que contenía el microcódigo actualizado. Su PC no está adecuadamente protegida contra Spectre a menos que haya instalado una actualización de firmware UEFI. AMD también lanzó actualizaciones de microcódigo para proteger los sistemas con procesadores AMD de los ataques de Spectre, por lo que esto no es solo una cosa de Intel.
El motor de administración de Intel ha visto algunos errores de seguridad eso podría permitir a los atacantes con acceso local a la computadora descifrar el software Management Engine, o permitir que un atacante con acceso remoto causara problemas. Afortunadamente, los exploits remotos solo afectaron a las empresas que habían habilitado Intel Active Management Technology (AMT), por lo que los consumidores promedio no se vieron afectados.
Estos son solo algunos ejemplos. Los investigadores también han demostrado que es posible abusar del firmware UEFI en algunas PC, usándolo para obtener acceso profundo al sistema. Incluso han demostrado ransomware persistente que obtuvo acceso al firmware UEFI de una computadora y se ejecutó desde allí.
La industria debería actualizar el firmware UEFI de cada computadora como cualquier otro software para ayudar a protegerse contra estos problemas y fallas similares en el futuro.
Cómo se ha interrumpido el proceso de actualización durante años
El proceso de actualización del BIOS ha sido un desastre desde siempre, mucho antes de UEFI. Tradicionalmente, las computadoras se envían con ese BIOS de la vieja escuela, y menos podrían salir mal. Los fabricantes de PC pueden enviar algunas actualizaciones de BIOS para solucionar problemas menores, pero el consejo habitual era evitar instalarlas si su PC funcionaba correctamente. A menudo, tenía que arrancar desde una unidad DOS de arranque para actualizar la actualización del BIOS, y todos escucharon historias de fallas en las actualizaciones del BIOS y que bloquearon las PC, haciéndolas imposibles de arrancar.
Las cosas han cambiado. El firmware UEFI hace mucho más, e Intel ha lanzado varias actualizaciones importantes para cosas como el microcódigo de la CPU y el Intel ME en los últimos años. Siempre que Intel lanza una actualización de este tipo, todo lo que Intel puede hacer es decir «pregunte al fabricante de su computadora». El fabricante de su computadora, o el fabricante de la placa base, si construyó su propia PC, debe tomar el código de Intel e integrarlo en una nueva versión de firmware UEFI. Luego tienen que probar el firmware. Ah, y cada fabricante tiene que repetir este proceso para cada PC individual que venden, ya que todos tienen diferentes firmware UEFI. Es el tipo de trabajo manual que hacía que los teléfonos Android fueran tan difíciles de actualizar en el pasado.
En la práctica, esto significa que a menudo lleva mucho tiempo, muchos meses, obtener actualizaciones de seguridad críticas que deben entregarse a través de UEFI. Significa que los fabricantes pueden encogerse de hombros y negarse a actualizar las PC que solo tienen unos pocos años. E incluso cuando los fabricantes publican actualizaciones, esas actualizaciones a menudo están ocultas en el sitio web de soporte de ese fabricante. La mayoría de los usuarios de PC nunca descubrirán que existen esas actualizaciones de firmware UEFI y las instalarán, por lo que estos errores terminan viviendo en las PC existentes durante mucho tiempo. Y algunos fabricantes todavía le obligan a instalar actualizaciones de firmware arrancando primero en DOS, solo para hacerlo más complicado.
Qué está haciendo la gente al respecto
Eso es un desastre. Necesitamos un proceso optimizado donde los fabricantes puedan crear más fácilmente nuevas actualizaciones de firmware UEFI. También necesitamos un mejor proceso para publicar esas actualizaciones, de modo que los usuarios puedan instalarlas automáticamente en sus PC. En este momento, el proceso es lento y manual; debería ser rápido y automático.
Eso es lo que Microsoft está tratando de hacer con Project Mu. Así es como documentación oficial lo explica:
Mu se basa en la idea de que el envío y el mantenimiento de un producto UEFI es una colaboración continua entre numerosos socios. Durante demasiado tiempo, la industria ha construido productos utilizando un modelo de «bifurcación» combinado con copiar / pegar / renombrar y con cada nuevo producto la carga de mantenimiento crece a tal nivel que las actualizaciones son casi imposibles debido al costo y riesgo.
Project Mu se trata de ayudar a los fabricantes de PC a crear y probar las actualizaciones de UEFI más rápido al agilizar el proceso de desarrollo de UEFI y ayudar a todos a trabajar juntos. Con suerte, esta es la pieza que falta, ya que Microsoft ya ha facilitado que los fabricantes de PC envíen sus actualizaciones de firmware UEFI a los usuarios automáticamente.
Específicamente, Microsoft permite a los fabricantes de PC emitir actualizaciones de firmware a través de Windows Update y ha proporcionado documentación sobre esto desde al menos 2017. Microsoft también anunció Actualización de firmware de componentes; un modelo de código abierto que los fabricantes pueden usar para actualizar UEFI y otro firmware, en octubre de 2018. Si los fabricantes de PC se unen a esto, podrían entregar actualizaciones de firmware a todos sus usuarios muy rápidamente.
Esto tampoco es solo una cosa de Windows. En Linux, los desarrolladores están tratando de facilitar a los fabricantes de PC la emisión de actualizaciones UEFI con LVFS, el servicio de firmware del proveedor de Linux. Los proveedores de PC pueden enviar sus actualizaciones y aparecerán para su descarga en la aplicación de software GNOME, que se usa en Ubuntu y muchas otras distribuciones de Linux. Este esfuerzo se remonta a 2015. A los fabricantes de PC les gusta Dell y Lenovo están participando.
Estas soluciones para Windows y Linux también afectan a más que solo las actualizaciones de UEFI. Los fabricantes de hardware podrían usarlos para actualizar todo, desde el firmware del mouse USB hasta el firmware de la unidad de estado sólido en el futuro.
Como SwiftOnSecurity Póngalo cuando se habla de los problemas con el firmware y el cifrado de unidades de estado sólido, las actualizaciones de firmware pueden ser confiables. Necesitamos esperar algo mejor de los fabricantes de hardware.
Las actualizaciones de firmware pueden ser confiables. Inicié al menos 3,000 actualizaciones de BIOS de Dell con solo una falla, y esa vieja PC ya estaba en servicio por fallar.
Vuelve a pensar en lo que crees que es imposible. El mantenimiento del firmware no es imposible ni riesgoso. Requiere que la gente exija mejor.
– SwiftOnSecurity (@SwiftOnSecurity) 6 de noviembre de 2018
Credito de imagen: Intel, Natascha Eibl, kubais/Shutterstock.com.