有風(fēng)險(xiǎn)的業(yè)務(wù)會(huì)對(duì)計(jì)算機(jī)用戶和知名品牌供應(yīng)商產(chǎn)生影響，而這全都與固件有關(guān)，很少對(duì)其進(jìn)行掃描以查找漏洞，并且會(huì)破壞現(xiàn)有的安全控制。企業(yè)固件安全公司Eclypsium的一份新報(bào)告報(bào)告了Windows和Linux固件漏洞。

Eclypsium在其PR材料中說：“現(xiàn)代攻擊者知道，傳統(tǒng)的安全工具在系統(tǒng)級(jí)別和硬件組件內(nèi)部都缺乏對(duì)固件的可見性，并且越來越多地使用固件植入和后門來繞過安全控制，持久化并破壞組織的基礎(chǔ)架構(gòu)。”

由于繞開了許多安全技術(shù)，這些發(fā)展使許多安全性假設(shè)顛倒了。Eclypsium報(bào)告團(tuán)隊(duì)看到了“外圍設(shè)備通常缺乏操作系統(tǒng)和其他更可見組件(如UEFI或BIOS)中我們認(rèn)為理所當(dāng)然的安全最佳實(shí)踐”。

Eclypsium的首席工程師Rick Althert在一個(gè)有線故事中說，沒有特權(quán)的用戶可以修改這些設(shè)備上的固件;沒有關(guān)于該固件的來源或作用的檢查。

其他技術(shù)站點(diǎn)也將新報(bào)告“危險(xiǎn)的外圍設(shè)備：Windows和Linux計(jì)算機(jī)內(nèi)部的隱患”作為焦點(diǎn)。

固件較弱的品牌名稱包括Lenovo，HP和Dell外設(shè)。報(bào)告稱，他們?cè)诼?lián)想，戴爾，惠普和其他主要制造商的計(jì)算機(jī)中使用的WiFi適配器，USB集線器，觸控板和相機(jī)中發(fā)現(xiàn)了未簽名的固件?？梢允褂梦春灻拇a更新固件。

Threatpost的Tara Seals表示，固件可以為犯罪分子“發(fā)現(xiàn)脆弱的攻擊面”。

肖恩·尼科爾斯(Shaun Nichols)在《 The Register》中寫道：“雖然易受攻擊的設(shè)備本身對(duì)黑客來說并不是特別有價(jià)值，但它們可以作為進(jìn)入網(wǎng)絡(luò)上其他系統(tǒng)的立足點(diǎn)。”

報(bào)告小組說：“未經(jīng)簽名的固件會(huì)導(dǎo)致數(shù)據(jù)，完整性和隱私丟失，并使攻擊者獲得特權(quán)并躲避傳統(tǒng)的安全控制。”

Eclypsium的建議：“鑒于未簽名固件的廣泛性，企業(yè)應(yīng)掃描其設(shè)備中是否有易受攻擊的組件，并應(yīng)在采購過程中評(píng)估新設(shè)備的固件狀態(tài)。”

固件漏洞可能很難檢測(cè)到。Seals寫道，固件攻擊“使惡意活動(dòng)能夠在端點(diǎn)保護(hù)的雷達(dá)范圍內(nèi)飛行，正如最近在使用RobbinHood勒索軟件的最新活動(dòng)中所看到的那樣，易受攻擊的驅(qū)動(dòng)程序可用于繞過安全保護(hù)并使勒索軟件能夠不受干擾地進(jìn)行攻擊。”

在有關(guān)Eclypsium裸露內(nèi)容的所有報(bào)告中，Andy Greenberg的文章對(duì)那些需要更好地了解外圍設(shè)備如何破壞用戶安全的人特別有用。

“您桌上的筆記本電腦或數(shù)據(jù)中心機(jī)架上的服務(wù)器與其說是網(wǎng)絡(luò)，不如說是一臺(tái)計(jì)算機(jī)。它的互連設(shè)備(從硬盤驅(qū)動(dòng)器，網(wǎng)絡(luò)攝像頭到觸控板，主要來自第三方)擁有自己的專用芯片。和代碼。”

沒關(guān)系警告已經(jīng)發(fā)出多年了-問題仍然存在。格林伯格說：“計(jì)算機(jī)內(nèi)部的那些計(jì)算機(jī)仍然受到令人不安的保護(hù)。”

研究人員甚至發(fā)現(xiàn)Linux供應(yīng)商固件服務(wù)存在問題，Linux服務(wù)是“允許硬件供應(yīng)商上傳固件更新的安全門戶”。

在Threatpost文章中，最重要的是，這個(gè)固件問題很難解決。Seals寫道：“外圍設(shè)備中未簽名的固件仍然是網(wǎng)絡(luò)安全的一個(gè)被忽視的方面，并為惡意行為者提供了多種途徑來危害筆記本電腦和服務(wù)器。”

《Tom's Guide》上的Paul Wagenseil對(duì)此表示了類似的重視：“由于攝像頭，觸控板，USB集線器，Wi-Fi使用的固件不安全，由Dell，HP，Lenovo和其他公司生產(chǎn)的數(shù)百萬臺(tái)筆記本電腦和臺(tái)式機(jī)容易受到攻擊。 PC中內(nèi)置的第三方供應(yīng)商提供的Fi卡和其他外圍設(shè)備。”

海豹引述Eclypsium的首席研究員Jesse Michaels。他說，外圍設(shè)備制造商對(duì)固件簽名的做法一直很慢，“使數(shù)百萬個(gè)Windows和Linux系統(tǒng)面臨固件攻擊的風(fēng)險(xiǎn)，這些固件攻擊可能會(huì)泄露數(shù)據(jù)，破壞操作并提供勒索軟件。”

Tom's Guide：“ Microsoft可以全力防御Windows，而Linux開發(fā)人員可以針對(duì)惡意軟件對(duì)Linux進(jìn)行加固，但是操作系統(tǒng)改進(jìn)對(duì)阻止筆記本電腦和臺(tái)式機(jī)內(nèi)置的數(shù)百種第三方外圍設(shè)備的其他攻擊沒有太大作用。”