着眼于企业固件安全的Eclypsium在本周警告,危险的周边设备固件已成为Windows与Linux计算机上的安全风险,不管是联想笔记本的触摸板或小红点(TrackPoint)、HP笔记本的视频摄影机,或者是Dell笔记本的Wi-Fi网卡,这些周边的固件更新机制,都缺乏适当的程序代码签章,而让黑客有机可乘。而且不只上述设备,这是一个普遍的问题,主要影响Windows及Linux平台,从笔记本到服务器不等。
研究人员指出,除了苹果的macOS会在每次加载固件时,针对固件组件的所有文件进行签章验证之外,Windows与Linux都只会在固件初次加载时,进行签章验证。这意味着黑客可通过不安全的固件更新机制,把恶意程序注入固件中。
借由不同固件进驻的恶意程序也会有不同的功能,例如恶意的网卡固件可能让黑客可偷窥、复制或变更流量;恶意的PCI设备固件可能带来直接内存访问攻击,允许黑客窃取机密信息或控制整个系统;恶意的视频摄影机固件,则能捕获用户环境中的数据。
尽管Eclypsium只验证了联想、HP及Dell特定型号笔记本的周边固件更新漏洞,但该公司相信这是一个广泛存在的问题,其它的型号或是其它的品牌,可能藏匿着类似的漏洞。
有趣的是,当Eclypsium发现了Dell XPS 15 9560笔记本(采用Windows 10平台),使用的Wi-Fi网卡(高通)含有固件更新漏洞时,该公司同时通知了微软与高通。高通表示,该芯片组是由处理器管辖,理应由处理器软件负责固件的验证,而微软则说,应该由网卡制造商负责验证加载该设备的固件。
不过,Eclypsium认为,最终还是应该要由周边制造商在固件更新前,行签章验证,而非依赖操作系统来执行该功能。
值得注意的是,相关漏洞并不容易修补,因为这些组件一开始就未执行固件更新时的签章检查,因此几乎无法借由固件更新来解决,代表这些安全漏洞,能会一直伴随着这些组件,直至组件的生命周期结束。