마이크로소프트가 방금 발표한 프로젝트 뮤, 지원되는 하드웨어에서 “서비스로서의 펌웨어”를 약속합니다. 모든 PC 제조업체는 이에 유의해야 합니다. PC는 UEFI 펌웨어에 대한 보안 업데이트가 필요하며 PC 제조업체는 이러한 업데이트를 제대로 제공하지 못했습니다.
목차
UEFI 펌웨어란 무엇입니까?
최신 PC는 기존 BIOS 대신 UEFI 펌웨어를 사용합니다. UEFI 펌웨어는 PC를 부팅할 때 시작되는 저수준 소프트웨어입니다. 하드웨어를 테스트 및 초기화하고 일부 낮은 수준의 시스템 구성을 수행한 다음 컴퓨터의 내부 드라이브 또는 다른 부팅 장치에서 운영 체제를 부팅합니다.
그러나 UEFI는 이전 BIOS 소프트웨어보다 약간 더 복잡합니다. 예를 들어 Intel 프로세서가 탑재된 컴퓨터에는 기본적으로 작은 운영 체제인 Intel Management Engine이라는 것이 있습니다. Windows, Linux 또는 컴퓨터에서 실행 중인 모든 운영 체제와 병렬로 실행됩니다. 기업 네트워크에서 시스템 관리자는 Intel ME의 기능을 사용하여 컴퓨터를 원격으로 관리할 수 있습니다.
UEFI에는 프로세서용 펌웨어와 유사한 프로세서 “마이크로코드”도 포함되어 있습니다. 컴퓨터가 부팅되면 UEFI 펌웨어에서 마이크로코드를 로드합니다. 소프트웨어 명령을 CPU에서 수행되는 하드웨어 명령으로 변환하는 인터프리터라고 생각하십시오.
UEFI 펌웨어에 보안 업데이트가 필요한 이유
지난 몇 년 동안 UEFI 펌웨어에 시기 적절한 보안 업데이트가 필요한 이유를 계속해서 보여주었습니다.
우리 모두는 2018년에 Spectre에 대해 배웠으며 최신 CPU의 심각한 아키텍처 문제를 보여줍니다. “추측 실행”이라는 문제는 프로그램이 표준 보안 제한을 벗어나 메모리의 보안 영역을 읽을 수 있음을 의미했습니다. Spectre가 올바르게 작동하려면 CPU 마이크로코드 업데이트가 필요하도록 수정했습니다. 즉, PC 제조업체는 모든 랩톱 및 데스크톱 PC를 업데이트해야 했으며 마더보드 제조업체는 모든 마더보드를 업데이트된 마이크로코드가 포함된 새로운 UEFI 펌웨어로 업데이트해야 했습니다. UEFI 펌웨어 업데이트를 설치하지 않으면 PC가 Spectre로부터 적절히 보호되지 않습니다. AMD 또한 Spectre 공격으로부터 AMD 프로세서가 있는 시스템을 보호하기 위해 마이크로코드 업데이트를 출시했습니다. 따라서 이것은 Intel만의 문제가 아닙니다.
인텔의 관리 엔진은 보안 버그 컴퓨터에 대한 로컬 액세스 권한이 있는 공격자가 Management Engine 소프트웨어를 크랙하거나 원격 액세스 권한이 있는 공격자가 문제를 일으킬 수 있습니다. 운 좋게도 원격 익스플로잇은 Intel AMT(Active Management Technology)를 활성화한 기업에만 영향을 미치므로 일반 소비자는 영향을 받지 않습니다.
이는 몇 가지 예일 뿐입니다. 연구원들은 또한 일부 PC에서 UEFI 펌웨어를 남용하여 시스템에 대한 딥 액세스 권한을 얻을 수 있음을 보여주었습니다. 그들은 시연까지 했다 지속적인 랜섬웨어 컴퓨터의 UEFI 펌웨어에 대한 액세스 권한을 얻었고 거기에서 실행되었습니다.
업계는 이러한 문제 및 향후 유사한 결함으로부터 보호하기 위해 다른 소프트웨어와 마찬가지로 모든 컴퓨터의 UEFI 펌웨어를 업데이트해야 합니다.
몇 년 동안 업데이트 프로세스가 중단된 방식
BIOS 업데이트 프로세스는 UEFI 이전부터 영원히 엉망이었습니다. 전통적으로 컴퓨터는 구식 BIOS와 함께 제공되며 잘못될 가능성은 적습니다. PC 제조업체는 사소한 문제를 해결하기 위해 몇 가지 BIOS 업데이트를 제공할 수 있지만 일반적으로 PC가 제대로 작동하는 경우 업데이트를 설치하지 않는 것이 좋습니다. BIOS 업데이트를 플래시하기 위해 부팅 가능한 DOS 드라이브에서 부팅해야 하는 경우가 많았고 모든 사람들은 BIOS 업데이트가 실패하고 PC를 벽돌로 만들어서 부팅할 수 없게 만든다는 이야기를 들었습니다.
여러가지가 바뀌었다. UEFI 펌웨어는 더 많은 작업을 수행하며 Intel은 지난 몇 년 동안 CPU 마이크로코드 및 Intel ME와 같은 사항에 대한 몇 가지 대규모 업데이트를 출시했습니다. 인텔이 이러한 업데이트를 출시할 때마다 인텔이 할 수 있는 일은 “컴퓨터 제조업체에 문의하십시오.”라고 말하는 것뿐입니다. 컴퓨터 제조업체 또는 마더보드 제조업체(자체 PC를 구축한 경우)는 인텔에서 코드를 가져와 새 UEFI 펌웨어 버전에 통합해야 합니다. 그런 다음 펌웨어를 테스트해야 합니다. 아, 그리고 제조사마다 UEFI 펌웨어가 다르기 때문에 판매하는 모든 개별 PC에 대해 이 프로세스를 반복해야 합니다. 안드로이드 폰을 과거에 업데이트하기 어렵게 만든 일종의 수동 작업입니다.
실제로 이는 UEFI를 통해 전달해야 하는 중요한 보안 업데이트를 받는 데 오랜 시간(수개월)이 걸린다는 것을 의미합니다. 이는 제조업체가 어깨를 으쓱하고 불과 몇 년 된 PC의 업데이트를 거부할 수 있음을 의미합니다. 그리고 제조업체가 업데이트를 출시하더라도 해당 업데이트는 종종 해당 제조업체의 지원 웹사이트에 묻힙니다. 대부분의 PC 사용자는 이러한 UEFI 펌웨어 업데이트가 있는지 발견하고 설치하지 않으므로 이러한 버그는 결국 기존 PC에 오랫동안 남아 있게 됩니다. 그리고 일부 제조업체는 여전히 DOS로 부팅하여 펌웨어 업데이트를 설치하도록 하여 더 복잡하게 만듭니다.
사람들이 그것에 대해 무엇을하고 있습니까
그건 엉망이야. 제조업체가 새로운 UEFI 펌웨어 업데이트를 보다 쉽게 생성할 수 있는 간소화된 프로세스가 필요합니다. 또한 사용자가 PC에 자동으로 설치할 수 있도록 이러한 업데이트를 릴리스하기 위한 더 나은 프로세스가 필요합니다. 현재 프로세스는 느리고 수동입니다. 빠르고 자동이어야 합니다.
이것이 마이크로소프트가 Project Mu로 하려고 하는 것입니다. 방법은 다음과 같습니다. 공식 문서 다음과 같이 설명합니다.
Mu는 UEFI 제품 배송 및 유지 관리가 수많은 파트너 간의 지속적인 협력이라는 아이디어를 기반으로 구축되었습니다. 너무 오랫동안 업계는 복사/붙여넣기/이름 바꾸기와 결합된 “포킹(forking)” 모델을 사용하여 제품을 구축했으며 각 신제품과 함께 유지 관리 부담이 비용과 위험으로 인해 업데이트가 거의 불가능한 수준으로 증가합니다.
Project Mu는 UEFI 개발 프로세스를 간소화하고 모두가 함께 작업할 수 있도록 지원하여 PC 제조업체가 UEFI 업데이트를 더 빠르게 만들고 테스트할 수 있도록 지원합니다. Microsoft는 이미 PC 제조업체가 UEFI 펌웨어 업데이트를 사용자에게 자동으로 더 쉽게 보낼 수 있도록 했기 때문에 이것이 누락된 부분이기를 바랍니다.
특히 Microsoft는 PC 제조업체가 펌웨어 업데이트를 발행하다 Windows Update를 통해 최소 2017년부터 이에 대한 문서를 제공했습니다. Microsoft도 발표했습니다. 구성 요소 펌웨어 업데이트; 2018년 10월에 제조업체가 UEFI 및 기타 펌웨어를 업데이트하는 데 사용할 수 있는 오픈 소스 모델입니다. PC 제조업체가 이에 동의하면 모든 사용자에게 펌웨어 업데이트를 매우 빠르게 제공할 수 있습니다.
이것은 Windows만의 문제가 아닙니다. Linux에서 개발자는 PC 제조업체가 UEFI 업데이트를 쉽게 발행할 수 있도록 노력하고 있습니다. LVFS, Linux 공급업체 펌웨어 서비스. PC 공급업체는 업데이트를 제출할 수 있으며 Ubuntu 및 기타 여러 Linux 배포판에서 사용되는 GNOME 소프트웨어 응용 프로그램에서 다운로드할 수 있습니다. 이러한 노력은 2015년으로 거슬러 올라갑니다. PC 제조업체는 델과 레노버 참여하고 있습니다.
이러한 Windows 및 Linux용 솔루션은 UEFI 업데이트 뿐만 아니라 더 많은 영향을 미칩니다. 하드웨어 제조업체는 이를 사용하여 향후 USB 마우스 펌웨어에서 솔리드 스테이트 드라이브 펌웨어까지 모든 것을 업데이트할 수 있습니다.
같이 스위프트온시큐리티 솔리드 스테이트 드라이브 펌웨어 및 암호화 문제에 대해 이야기할 때 펌웨어 업데이트를 신뢰할 수 있습니다. 우리는 하드웨어 제조업체로부터 더 나은 것을 기대해야 합니다.
펌웨어 업데이트는 신뢰할 수 있습니다. 단 한 번의 오류로 최소 3,000개의 Dell BIOS 업데이트를 시작했으며 해당 구형 PC는 이미 오류에 대한 서비스를 제공하고 있었습니다.
불가능하다고 생각하는 것을 다시 생각하십시오. 펌웨어 서비스는 불가능하거나 위험하지 않습니다. 그것은 사람들이 더 나은 요구를 요구합니다.
— SwiftOnSecurity(@SwiftOnSecurity) 2018년 11월 6일
이미지 크레디트: 인텔, 나타샤 아이블, 쿠바/Shutterstock.com.