Eclypsium 在本週警告,危險的周邊設備固件已成為 Windows 與 Linux 電腦上的安全風險,不管是聯想筆電的觸控板或小紅點(TrackPoint)、HP筆電的攝像頭,或者是 Dell 筆電的 Wi-Fi 網卡,這些周邊的固件更新機制,都缺乏適當的代碼簽名,而讓黑客有機可趁。而且不只上述設備,這是一個普遍的問題,主要影響 Windows 及 Linux 平臺,從筆電到服務器不等。
研究人員指出,除了蘋果的 macOS 會在每次載入固件時,針對固件套件的所有文件進行簽名驗證之外,Windows 與 Linux 都只會在固件初次載入時,進行簽名驗證。這意味著黑客可通過不安全的固件更新機制,把惡意程序注入固件中。
不同固件進駐的惡意程序也會有不同的功能,例如惡意的網卡固件可能讓黑客可偷窺、複製或變更流量;惡意的 PCI 設備固件可能帶來直接內存存取攻擊,允許黑客竊取機密資訊或控制整個系統;惡意的攝像頭固件,則能捕獲使用者環境中的資料。
儘管 Eclypsium 只驗證了聯想、HP 及 Dell 特定型號筆電的周邊固件更新漏洞,但該公司相信這是一個廣泛存在的問題,其它的型號或是其它的品牌,可能藏匿著類似的漏洞。
有趣的是,當 Eclypsium 發現了 Dell XPS 15 9560 筆電(採用Windows 10平臺),使用的 Wi-Fi 網卡(高通)含有固件更新漏洞時,該公司同時通知了微軟與高通。高通表示,此一芯片組是由處理器管轄,理應由處理器軟件負責固件的驗證,而微軟則說,應該由網卡製造商負責驗證載入該設備的固件。
不過,Eclypsium 認為,最終還是應該要由周邊製造商在固件更新前,進行簽名驗證,而非依賴操作系統來執行此功能。
值得注意的是,相關漏洞並不容易修補,因為這些元件一開始就未執行固件更新時的簽名檢查,因此幾乎無法藉由固件更新來解決,代表這些安全漏洞,能會一直伴隨著這些元件,直至元件的生命週期結束。
閱讀更多 AI智慧 的文章
