近日安全公司Eclypsium的研究人員發佈報告表示,由於外圍組件的固件未簽名漏洞,戴爾,惠普,聯想和其他公司銷售的數百萬臺電腦容易受到攻擊。
研究員表示,2015年起供應商和攻擊者都已經知道這種攻擊方式,但是供應商似乎並不急著給固件簽名,用戶面臨著數據盜竊和勒索軟件的攻擊風險。
容易受到攻擊的設備如下:
Dell XPS 15 9560無線適配器
研究人員發現,可以修改XPS 15 9560無線適配器的固件,使攻擊者可以接管該設備。
當研究員與戴爾,高通公司(無線適配器供電)和微軟進行聯繫時,這三家公司似乎在踢皮球(意料之中)。
高通公司表示,系統應驗證固件的安全性(甩鍋微軟)。
戴爾表示,正在與供應商合作,以瞭解安全問題的影響(甩鍋高通、微軟)
微軟表示,驅動程序製造商需要確保固件的安全性(甩鍋高通)。
資料顯示Dell XPS 15 9560發佈於2017年1月現已退市,標配英特爾第七代酷睿處理器,可選GTX1050顯卡、8GB內存、32G+1T混合硬盤。
不是這個外星人
網卡部分具體型號為Qualcomm Killer Wireless 1535,這款千兆網卡在同期的外星人系列筆記本中也有搭載,目前不清楚外星人系列產品是否也受到影響。如果擔心安全性,可以自行購買升級到Killer1550,具體操作網上找教程。
HP FHD相機
研究人員發現,HP Spectre X360 13英寸筆記本電腦中HP Wide-Vision FHD攝像機的固件更新也沒有加密和身份驗證檢查,也可以使用HP提供的工具輕鬆修改固件。
好消息是,惠普告訴Eclypsium研究人員,未來的相機將帶有簽名的固件。但是他們沒有指定固件更新是否也將被加密。
HP Spectre X360發佈於2018年11月,主打輕薄,搭載第八代酷睿處理器,支持觸控和手寫筆,可翻轉使用。攝像頭是自家提供,所以暫無更多信息。
聯想ThinkPad觸摸板和觸控板
研究人員還發現聯想ThinkPad X1 Carbon 6th Gen筆記本電腦的觸摸板固件存在安全問題Synaptics觸摸板和小紅點的固件未收到加密和簽名的更新。
聯想告訴Eclypsium,它意識到了這個問題,並催促供應商解決問題。
但是Synaptics的PC部門副總裁Stephen Schultis認為其固件不需要密碼簽名,因為該代碼是專有的,攻擊者很難利用它。
良心想ThinkPad這個就有點複雜了,小紅點是標配,Synaptics觸控板似乎也是標配,只能說希望廠家重視一下吧。
Linux USB集線器和Broadcom網卡
研究人員還研究了Linux供應商固件服務,並發現USB集線器和Broadcom BCM5719網卡採用未簽名固件。其中網卡部分已連接到PCI總線,可以直接訪問內存,因此可以完全接管服務器,危害較大。
而Broadcom尚未就此問題發表聲明。
Broadcom BCM5719發佈於2015年,在服務器和虛擬機有應用,普通用戶關係不大。
問題來了,漏洞危害大不大,什麼時候能修復漏洞?
Eclypsium只是安全機構,工作內容是發現風險漏洞提交給廠商,沒有權利要求廠商一定要修復。鑑於廠家目前的回應,Eclypsium的研究人員只能發出警告,讓大家注意而已。
從漏洞性質上說,簽名漏洞類似於此前有點像此前出現在英特爾處理器上的熔斷/幽靈,現有的殺毒軟件可以防禦系統層級威脅,但驅動程序優先級較高,殺毒軟件對阻止攻擊沒有太大作用,從這方面看,漏洞危險是不小的。
好在這些攻擊允許數據洩漏和勒索軟件,最大目標可能是企業公司和數據中心,企業等,這種類型的攻擊無法由用戶來解決,大家要關注一下廠商更新。
普通用戶,目標太小暫時還不用太上心。
至於什麼時候能修復,呵呵。
閱讀更多 鎢絲科技 的文章
