着眼于企业固件安全的eclypsium在本周警告,危险的周边设备固件已成为windows与linux计算机上的安全风险,不管是联想笔记本的触摸板或小红点(trackpoint)、hp笔记本的视频摄影机,或者是dell笔记本的wi-fi网卡,这些周边的固件更新机制,都缺乏适当的程序代码签章,而让黑客有机可乘。而且不只上述设备,这是一个普遍的问题,主要影响windows及linux平台,从笔记本到服务器不等。
研究人员指出,除了苹果的macos会在每次加载固件时,针对固件组件的所有文件进行签章验证之外,windows与linux都只会在固件初次加载时,进行签章验证。这意味着黑客可通过不安全的固件更新机制,把恶意程序注入固件中。
借由不同固件进驻的恶意程序也会有不同的功能,例如恶意的网卡固件可能让黑客可偷窥、复制或变更流量;恶意的pci设备固件可能带来直接内存访问攻击,允许黑客窃取机密信息或控制整个系统;恶意的视频摄影机固件,则能捕获用户环境中的数据。
尽管eclypsium只验证了联想、hp及dell特定型号笔记本的周边固件更新漏洞,但该公司相信这是一个广泛存在的问题,其它的型号或是其它的品牌,可能藏匿着类似的漏洞。
有趣的是,当eclypsium发现了dell xps 15 9560笔记本(采用windows 10平台),使用的wi-fi网卡(高通)含有固件更新漏洞时,该公司同时通知了微软与高通。高通表示,该芯片组是由处理器管辖,理应由处理器软件负责固件的验证,而微软则说,应该由网卡制造商负责验证加载该设备的固件。
不过,eclypsium认为,最终还是应该要由周边制造商在固件更新前,行签章验证,而非依赖操作系统来执行该功能。
值得注意的是,相关漏洞并不容易修补,因为这些组件一开始就未执行固件更新时的签章检查,因此几乎无法借由固件更新来解决,代表这些安全漏洞,能会一直伴随着这些组件,直至组件的生命周期结束。