PC의 UEFI 펌웨어에 보안 업데이트가 필요한 이유
Microsoft는 지원되는 하드웨어에서 "서비스로서의 펌웨어"를 약속 한 Project Mu를 발표했습니다. 모든 PC 제조업체가주의해야합니다. PC는 UEFI 펌웨어에 대한 보안 업데이트가 필요하며 PC 제조업체는 제공하기가 어렵습니다..
UEFI 펌웨어 란 무엇입니까??
최신 PC는 기존 BIOS 대신 UEFI 펌웨어를 사용합니다. UEFI 펌웨어는 PC를 부팅 할 때 시작되는 저수준 소프트웨어입니다. 하드웨어를 테스트 및 초기화하고 일부 저수준 시스템 구성을 수행 한 다음 컴퓨터의 내부 드라이브 나 다른 부팅 장치에서 운영 체제를 부팅합니다.
그러나 UEFI는 기존 BIOS 소프트웨어보다 약간 복잡합니다. 예를 들어 Intel 프로세서가 장착 된 컴퓨터에는 기본적으로 작은 운영 체제 인 Intel Management Engine이라는 것이 있습니다. Windows, Linux 또는 컴퓨터에서 실행중인 운영 체제와 병행하여 실행됩니다. 기업 네트워크에서 시스템 관리자는 Intel ME의 기능을 사용하여 컴퓨터를 원격으로 관리 할 수 있습니다.
UEFI에는 프로세서 용 펌웨어와 같은 종류의 프로세서 "마이크로 코드"도 들어 있습니다. 컴퓨터가 부팅되면 UEFI 펌웨어에서 마이크로 코드를로드합니다. 소프트웨어 지침을 CPU에서 수행되는 하드웨어 명령어로 변환하는 통역사와 같이 생각하십시오..
UEFI 펌웨어에 보안 업데이트가 필요한 이유
지난 몇 년 동안 UEFI 펌웨어가 적시에 보안 업데이트가 필요한 이유가 계속해서 나타났습니다..
우리 모두는 2018 년에 Specter에 대해 배웠고 최신 CPU의 심각한 아키텍처 문제를 보여줍니다. "투기 적 실행"이라는 문제는 프로그램이 표준 보안 제한을 벗어나 안전한 메모리 영역을 읽을 수 없다는 것을 의미했습니다. Spectre에 필요한 CPU 마이크로 코드 업데이트가 올바르게 작동하도록 수정되었습니다. 즉, PC 제조업체는 노트북 및 데스크탑 PC를 모두 업데이트해야하고 마더 보드 제조업체는 업데이트 된 마이크로 코드가 포함 된 새로운 UEFI 펌웨어로 모든 마더 보드를 업데이트해야했습니다. UEFI 펌웨어 업데이트를 설치하지 않으면 PC가 Spectre로부터 적절하게 보호되지 않습니다. AMD는 스펙터 (Specter) 공격으로부터 AMD 프로세서가 장착 된 시스템을 보호하기 위해 마이크로 코드 업데이트를 발표했기 때문에 인텔.
인텔의 관리 엔진은 컴퓨터에 대한 로컬 액세스 권한을 가진 공격자가 관리 엔진 소프트웨어를 해킹하거나 원격 액세스 권한을 가진 공격자가 문제를 일으킬 수있는 몇 가지 보안 버그를 보았습니다. 운좋게도 원격 액세사리는 인텔 액티브 관리 기술 (AMT)을 활성화 한 사업에만 영향을 미치므로 평균적인 소비자는 영향을받지 않았습니다.
이들은 단지 몇 가지 예입니다. 연구원들은 UEFI 펌웨어를 일부 PC에서 악용하여 시스템에 대한 심층적 인 액세스를 얻을 수 있다는 것을 보여주었습니다. 심지어 컴퓨터의 UEFI 펌웨어에 액세스하여 거기에서 실행되는 영구적 인 ransomware도 시연했습니다..
업계에서는 앞으로도 이러한 문제와 유사한 결함으로부터 보호 할 수 있도록 다른 컴퓨터와 마찬가지로 모든 컴퓨터의 UEFI 펌웨어를 업데이트해야합니다.
수년간 갱신 과정이 어떻게 파손되었는지
BIOS 업데이트 프로세스는 UEFI 이전부터 영원히 혼란 스러웠습니다. 전통적으로 컴퓨터는 오래된 학교의 BIOS와 함께 제공되며, 잘못 될 가능성은 적습니다. PC 제조업체는 사소한 문제를 해결하기 위해 몇 가지 BIOS 업데이트를 제공 할 수 있지만 일반적으로 PC가 제대로 작동하면 설치하지 않는 것이 좋습니다. 부팅 할 수있는 DOS 드라이브에서 부팅하여 BIOS 업데이트를 플래시해야하는 경우가 많았습니다. BIOS 업데이트가 실패하고 벽돌이 깔린 PC에 대한 이야기를 들었습니다..
여러가지가 바뀌었다. UEFI 펌웨어는 훨씬 더 많은 일을합니다. 인텔은 지난 몇 년 동안 CPU 마이크로 코드와 Intel ME에 대한 몇 가지 큰 업데이트를 발표했습니다. 인텔이 그러한 업데이트를 발표 할 때마다 인텔이 할 수있는 모든 작업은 "컴퓨터 제조업체에 문의하십시오."라고 말하면됩니다. PC 제조업체 인 경우 컴퓨터 제조업체 또는 마더 보드 제조업체는 인텔의 코드를 가져 와서 새로운 UEFI 펌웨어 번역. 그런 다음 펌웨어를 테스트해야합니다. 아, 그리고 각 제조사마다 UEFI 펌웨어가 다르므로 각 PC마다이 과정을 반복해야합니다. Android 휴대 전화를 과거에 업데이트하기가 수월하게 만든 수동 작업입니다..
실제로 이는 UEFI를 통해 제공해야하는 중요한 보안 업데이트를받는 데 오랜 시간이 걸리는 경우가 많음을 의미합니다. 이는 제조사들이 단지 몇 년 전의 PC를 방치하거나 거절 할 수 있음을 의미합니다. 그리고 제조업체가 업데이트를 릴리스하더라도 해당 업데이트는 종종 해당 제조업체의 지원 웹 사이트에 묻혀 있습니다. 대부분의 PC 사용자는 UEFI 펌웨어 업데이트가 있는지 확인하고 설치하지 않으므로 이러한 버그는 오랜 시간 동안 기존 PC에서 계속됩니다. 그리고 일부 제조사는 여전히 DOS로 부팅하여 펌웨어 업데이트를 설치합니다..
사람들이 그것에 대해 무엇을하는지
그것은 엉망입니다. 제조업체가 새로운 UEFI 펌웨어 업데이트를보다 쉽게 만들 수있는 간소화 된 프로세스가 필요합니다. 또한 업데이트를 릴리스하는 프로세스가 더 필요하므로 사용자는 PC에 자동으로 업데이트를 설치할 수 있습니다. 현재 프로세스는 느리고 수동입니다. 빠르고 자동적이어야합니다..
이것이 바로 Project Mu와 Microsoft 간의 관계입니다. 다음은 공식 문서에서 설명하는 방법입니다.
Mu는 UEFI 제품의 출하 및 유지 관리가 수많은 파트너 간의 지속적인 협력이라는 아이디어를 바탕으로합니다. 너무 오래 동안 업계는 복사 / 붙여 넣기 / 이름 바꾸기와 결합 된 "포크 (forking)"모델을 사용하여 제품을 만들었으며 새로운 제품마다 비용 및 위험으로 인해 업데이트가 거의 불가능한 정도까지 유지 관리 부담이 커졌습니다.
Project Mu는 UEFI 개발 프로세스를 합리화하고 모든 사람들이 함께 작업 할 수 있도록 지원함으로써 PC 제조업체가 UEFI 업데이트를 신속하게 만들고 테스트 할 수 있도록 돕는 데 중점을두고 있습니다. 바라건대, 이것은 마이크로 소프트가 이미 PC 제조업체들이 UEFI 펌웨어 업데이트를 사용자들에게 자동으로 보내도록하기 때문에 누락 된 부분이다..
특히 Microsoft는 PC 제조업체가 Windows Update를 통해 펌웨어 업데이트를 제공하고 적어도 2017 년 이후이 문서를 제공했습니다. Microsoft는 또한 구성 요소 펌웨어 업데이트를 발표했습니다. 제조업체가 UEFI 및 기타 펌웨어를 2018 년 10 월에 업데이트하는 데 사용할 수있는 오픈 소스 모델입니다. PC 제조업체가이 기능을 사용하면 모든 사용자에게 펌웨어 업데이트를 신속하게 제공 할 수 있습니다.
이것은 윈도우 일 뿐만이 아닙니다. Linux 개발자들은 PC 제조업체가 Linux 공급 업체 펌웨어 서비스 인 LVFS를 사용하여 UEFI 업데이트를보다 쉽게 수행 할 수 있도록 노력하고 있습니다. PC 공급 업체는 업데이트를 제출할 수 있으며 우분투 및 기타 여러 Linux 배포판에서 사용되는 그놈 소프트웨어 응용 프로그램에서 다운로드 할 수 있습니다. 이 노력은 2015 년으로 거슬러 올라갑니다. Dell 및 Lenovo와 같은 PC 제조업체는.
이러한 Windows 및 Linux 용 솔루션은 UEFI 업데이트 이상의 기능을 수행합니다. 하드웨어 제조업체는 USB 마우스 펌웨어에서 향후 솔리드 스테이트 드라이브 펌웨어에 이르기까지 모든 것을 업데이트 할 수 있습니다..
SwiftOnSecurity는 솔리드 스테이트 드라이브 펌웨어 및 암호화 문제에 대해 이야기 할 때 펌웨어 업데이트를 신뢰할 수 있습니다. 우리는 하드웨어 제조업체들로부터 더 나은 것을 기대해야합니다..
펌웨어 업데이트는 신뢰할 수 있습니다. 적어도 한 번만 실패하여 Dell BIOS 업데이트를 3,000 건 이상 시작했으며 오래된 PC가 이미 고장났습니다..
불가능하다고 생각하는 것을 다시 생각해보십시오. 펌웨어 서비스는 불가능하거나 위험하지 않습니다. 사람들의 요구가 더 많이 필요합니다..
- SwiftOnSecurity (@SwiftOnSecurity) 2018 년 11 월 6 일
이미지 크레딧 : Intel, Natascha Eibl, kubais / Shutterstock.com.