近日安全公司Eclypsium的研究人员发布报告表示,由于外围组件的固件未签名漏洞,戴尔,惠普,联想和其他公司销售的数百万台电脑容易受到攻击。
研究员表示,2015年起供应商和攻击者都已经知道这种攻击方式,但是供应商似乎并不急着给固件签名,用户面临着数据盗窃和勒索软件的攻击风险。
容易受到攻击的设备如下:
Dell XPS 15 9560无线适配器
研究人员发现,可以修改XPS 15 9560无线适配器的固件,使攻击者可以接管该设备。
当研究员与戴尔,高通公司(无线适配器供电)和微软进行联系时,这三家公司似乎在踢皮球(意料之中)。
高通公司表示,系统应验证固件的安全性(甩锅微软)。
戴尔表示,正在与供应商合作,以了解安全问题的影响(甩锅高通、微软)
微软表示,驱动程序制造商需要确保固件的安全性(甩锅高通)。
资料显示Dell XPS 15 9560发布于2017年1月现已退市,标配英特尔第七代酷睿处理器,可选GTX1050显卡、8GB内存、32G+1T混合硬盘。
不是这个外星人
网卡部分具体型号为Qualcomm Killer Wireless 1535,这款千兆网卡在同期的外星人系列笔记本中也有搭载,目前不清楚外星人系列产品是否也受到影响。如果担心安全性,可以自行购买升级到Killer1550,具体操作网上找教程。
HP FHD相机
研究人员发现,HP Spectre X360 13英寸笔记本电脑中HP Wide-Vision FHD摄像机的固件更新也没有加密和身份验证检查,也可以使用HP提供的工具轻松修改固件。
好消息是,惠普告诉Eclypsium研究人员,未来的相机将带有签名的固件。但是他们没有指定固件更新是否也将被加密。
HP Spectre X360发布于2018年11月,主打轻薄,搭载第八代酷睿处理器,支持触控和手写笔,可翻转使用。摄像头是自家提供,所以暂无更多信息。
联想ThinkPad触摸板和触控板
研究人员还发现联想ThinkPad X1 Carbon 6th Gen笔记本电脑的触摸板固件存在安全问题Synaptics触摸板和小红点的固件未收到加密和签名的更新。
联想告诉Eclypsium,它意识到了这个问题,并催促供应商解决问题。
但是Synaptics的PC部门副总裁Stephen Schultis认为其固件不需要密码签名,因为该代码是专有的,攻击者很难利用它。
良心想ThinkPad这个就有点复杂了,小红点是标配,Synaptics触控板似乎也是标配,只能说希望厂家重视一下吧。
Linux USB集线器和Broadcom网卡
研究人员还研究了Linux供应商固件服务,并发现USB集线器和Broadcom BCM5719网卡采用未签名固件。其中网卡部分已连接到PCI总线,可以直接访问内存,因此可以完全接管服务器,危害较大。
而Broadcom尚未就此问题发表声明。
Broadcom BCM5719发布于2015年,在服务器和虚拟机有应用,普通用户关系不大。
问题来了,漏洞危害大不大,什么时候能修复漏洞?
Eclypsium只是安全机构,工作内容是发现风险漏洞提交给厂商,没有权利要求厂商一定要修复。鉴于厂家目前的回应,Eclypsium的研究人员只能发出警告,让大家注意而已。
从漏洞性质上说,签名漏洞类似于此前有点像此前出现在英特尔处理器上的熔断/幽灵,现有的杀毒软件可以防御系统层级威胁,但驱动程序优先级较高,杀毒软件对阻止攻击没有太大作用,从这方面看,漏洞危险是不小的。
好在这些攻击允许数据泄漏和勒索软件,最大目标可能是企业公司和数据中心,企业等,这种类型的攻击无法由用户来解决,大家要关注一下厂商更新。
普通用户,目标太小暂时还不用太上心。
至于什么时候能修复,呵呵。
閱讀更多 鎢絲科技 的文章
