Eclypsium:沒簽章的周邊設備固件成為惡意程序溫床
著眼於企業固件安全的Eclypsium在本周警告,危險的周邊設備固件已成為Windows與Linux計算機上的安全風險,不管是聯想筆記本的觸摸板或小紅點(TrackPoint)、HP筆記本的視頻攝影機,或者是Dell筆記本的Wi-Fi網卡,這些周邊的固件更新機制,都缺乏適當的程序代碼簽章,而讓黑客有機可乘。而且不只上述設備,這是一個普遍的問題,主要影響Windows及Linux平台,從筆記本到伺服器不等。
研究人員指出,除了蘋果的macOS會在每次載入固件時,針對固件組件的所有文件進行簽章驗證之外,Windows與Linux都只會在固件初次載入時,進行簽章驗證。這意味著黑客可通過不安全的固件更新機制,把惡意程序注入固件中。
藉由不同固件進駐的惡意程序也會有不同的功能,例如惡意的網卡固件可能讓黑客可偷窺、複製或變更流量;惡意的PCI設備固件可能帶來直接內存訪問攻擊,允許黑客竊取機密信息或控制整個系統;惡意的視頻攝影機固件,則能捕獲用戶環境中的數據。
儘管Eclypsium只驗證了聯想、HP及Dell特定型號筆記本的周邊固件更新漏洞,但該公司相信這是一個廣泛存在的問題,其它的型號或是其它的品牌,可能藏匿著類似的漏洞。
有趣的是,當Eclypsium發現了Dell XPS 15 9560筆記本(採用Windows 10平台),使用的Wi-Fi網卡(高通)含有固件更新漏洞時,該公司同時通知了微軟與高通。高通表示,該晶元組是由處理器管轄,理應由處理器軟體負責固件的驗證,而微軟則說,應該由網卡製造商負責驗證載入該設備的固件。
不過,Eclypsium認為,最終還是應該要由周邊製造商在固件更新前,行簽章驗證,而非依賴操作系統來執行該功能。
值得注意的是,相關漏洞並不容易修補,因為這些組件一開始就未執行固件更新時的簽章檢查,因此幾乎無法藉由固件更新來解決,代表這些安全漏洞,能會一直伴隨著這些組件,直至組件的生命周期結束。
