Atualizações de BIOS são importantes!

Marcos FRM · 8 de agosto de 2023

Um novo dia e uma nova leva de falhas de segurança nos processadores.

AMD: Zenbleed - CVE-2023-20593

(microarquitetura Zen 2)

https://lock.cmpxchg8b.com/zenbleed.html

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html

Consertada com AGESA ComboAM4v2PI 1.2.0.C.

AMD: Inception - CVE-2023-20569

(microarquiteturas Zen 3 e Zen 4)

https://comsec.ethz.ch/research/microarch/inception/

https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7005.html

Consertada com AGESA ComboAM4v2PI 1.2.0.B e ComboAM5 1.0.8.0.

Intel: Downfall - CVE-2022-40982
(afeta uma gama enorme de processadores da marca)

https://downfall.page/

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html

https://www.intel.com/content/www/us/en/developer/topic-technology/software-security-guidance/processors-affected-consolidated-product-cpu-model.html

Essas falhas às vezes podem ser mitigadas via software pelo sistema operacional, geralmente com impacto no desempenho. Mesmo assim, a forma garantida de estar seguro é aplicar a atualização via BIOS. Colo aqui o texto da AMD (Inception) para encorajar os colegas e esquecerem a história de "em time que está ganhando não se mexe". Com falhas de segurança, seu time está perdendo!

AMD recommends customers apply either the standalone µcode patch or a BIOS update that incorporates the µcode patch, as applicable, for products based on “Zen 3” and “Zen 4” CPU architectures. AMD plans to release updated AGESA™ versions to Original Equipment Manufacturers (OEM), Original Design Manufacturers (ODM) and motherboard manufacturers (MB) on the target dates listed below. Please refer to your OEM, ODM, or MB for a BIOS update specific to your product, which will follow after the dates listed below, as applicable.

Marcos FRM · 13 de maio

Agora, no início de 2024, os fabricantes de placas-mãe começaram a disponibilizar atualizações consertando Zenbleed (AGESA ComboAM4v2PI 1.2.0.C), que afeta os Zen 2.

A contramedida adotada pelos sistemas operacionais[*] causa, em alguns aplicativos que dependem bastante de AVX/AVX2 (conversão de vídeo e áudio, por exemplo), queda de desempenho de até ~15% (link). Com o novo microcódigo, é para o desempenho ser restaurado, pelo menos parcialmente... ainda no aguardo de novos testes para confirmar.

[*] https://github.com/torvalds/linux/commit/522b1d69219d8f083173819fde04f994aa051a98

13 de maio

Em 08/08/2023 às 15:46, Marcos FRM disse:

para encorajar os colegas e esquecerem a história de "em time que está ganhando não se mexe". Com falhas de segurança, seu time está perdendo!

Sou muito criticado por estimular a atualização do BIOS sempre que tiver firmware novo disponível. A ignorância sobre o assunto é quem cria esses tabus e dificulta muitas vezes a assertividade em dicas de soluções. Vou usar seu tópico como referência e tirar um pouco as marcas das "pancadas" que recebo. Basta ler e entender o processo, fazer exatamente como o fabricante determina, que tudo dará certo.

Marcos FRM · 13 de maio

Obrigado por abraçar a empreitada! Atualização de BIOS tem que ser aplicada imediatamente, ainda mais se contiver novo microcódigo.

Necklace · 27 de maio

Sempre que for atualizar o BIOS, é obrigatório fazer backup das chaves criptográficas ou descriptografar o sistema como um todo. Esse é um dos motivos de muita gente quebrar o sistema ao atualizar o BIOS, ainda mais hoje em dia com o Windows 11 deixando o Bitlocker como opção padrão na máquina.

Isso ainda piora quando o usuário comum sequer sabe o que é Bitlocker ou se ele está ativado ou não.

Em sistemas como Android ou IOS a criptografia de sistema é muito simples de se notar pelo próprio comportamento do dispositivo, mas para máquinas com LINUX/Windows isso complica para leigos...

Marcos FRM · 27 de maio

Bem lembrado. Não é toda atualização que reseta o TPM -- interessantemente, atualizações de BIOS de PCs de grife (quase?) nunca o fazem. No entanto, é prudente considerar que sempre será o caso. Quem usa a conta da Microsoft no Windows tem a chave do BitLocker salva nos servidores da empresa. Mesmo assim, salvar num pendrive nunca é demais.

Pos Vista · 29 de junho

Inclusive, nas versões Home do Windows 11 24H2, também é ativado o Bitlocker automaticamente, quando se faz uma instalação limpa e nessas versões, não existe a opção de desligá-lo. Só na versão PRO, que existe a opção de desligar o Bitlocker.