示意圖,iThome檔案照

著眼於企業韌體安全的Eclypsium在本周警告,危險的周邊裝置韌體已成為Windows與Linux電腦上的安全風險,不管是聯想筆電的觸控板或小紅點(TrackPoint)、HP筆電的視訊攝影機,或者是Dell筆電的Wi-Fi網卡,這些周邊的韌體更新機制,都缺乏適當的程式碼簽章,而讓駭客有機可趁。而且不只上述裝置,這是一個普遍的問題,主要影響Windows及Linux平台,從筆電到伺服器不等。

研究人員指出,除了蘋果的macOS會在每次載入韌體時,針對韌體套件的所有檔案進行簽章驗證之外,Windows與Linux都只會在韌體初次載入時,進行簽章驗證。這意味著駭客可透過不安全的韌體更新機制,把惡意程式注入韌體中。

藉由不同韌體進駐的惡意程式也會有不同的功能,例如惡意的網路卡韌體可能讓駭客可偷窺、複製或變更流量;惡意的PCI裝置韌體可能帶來直接記憶體存取攻擊,允許駭客竊取機密資訊或控制整個系統;惡意的視訊攝影機韌體,則能捕獲使用者環境中的資料。

儘管Eclypsium只驗證了聯想、HP及Dell特定型號筆電的周邊韌體更新漏洞,但該公司相信這是一個廣泛存在的問題,其它的型號或是其它的品牌,可能藏匿著類似的漏洞。

有趣的是,當Eclypsium發現了Dell XPS 15 9560筆電(採用Windows 10平台),使用的Wi-Fi網卡(高通)含有韌體更新漏洞時,該公司同時通知了微軟與高通。高通表示,此一晶片組是由處理器管轄,理應由處理器軟體負責韌體的驗證,而微軟則說,應該由網卡製造商負責驗證載入該裝置的韌體。

不過,Eclypsium認為,最終還是應該要由周邊製造商在韌體更新前,行簽章驗證,而非仰賴作業系統來執行此一功能。

值得注意的是,相關漏洞並不容易修補,因為這些元件一開始就未執行韌體更新時的簽章檢查,因此幾乎無法藉由韌體更新來解決,代表這些安全漏洞,能會一直伴隨著這些元件,直至元件的生命周期結束。

熱門新聞

Advertisement