Eclypsium安全报告显示未签名的固件令人头痛

 
有风险的业务会对计算机用户和知名品牌供应商产生影响，而这全都与固件有关，很少对其进行扫描以查找漏洞，并且会破坏现有的安全控制。企业固件安全公司Eclypsium的一份新报告报告了Windows和Linux固件漏洞。
Eclypsium在其PR材料中说：“现代攻击者知道，传统的安全工具在系统级别和硬件组件内部都缺乏对固件的可见性，并且越来越多地使用固件植入和后门绕过安全控制，持久化并破坏组织的基础架构。”
由于绕开了许多安全技术，这些发展使许多安全性假设颠倒了。 Eclypsium报告团队看到了“外围设备通常缺乏操作系统和其他更可见组件(如UEFI或BIOS)中我们认为理所当然的安全最佳实践”。
Eclypsium的首席工程师Rick Althert在一个有线故事中说，没有特权的用户可以修改这些设备上的固件;没有关于该固件的来源或作用的检查。
其他技术站点也将新报告“危险的外围设备：Windows和Linux计算机内部的隐患”作为焦点。
固件较弱的品牌名称包括Lenovo，HP和Dell外设。报告称，他们在联想，戴尔，惠普和其他主要制造商的计算机中使用的WiFi适配器，USB集线器，触控板和相机中发现了未签名的固件。可以使用未签名的代码更新固件。
Threatpost的Tara Seals表示，固件可以为犯罪分子“发现脆弱的攻击面”。
肖恩·尼科尔斯(Shaun Nichols)在《 The Register》中写道：“虽然易受攻击的设备本身对黑客来说并不是特别有价值，但它们可以作为进入网络上其他系统的立足点。”
报告小组说：“未经签名的固件会导致数据，完整性和隐私丢失，并使攻击者获得特权并躲避传统的安全控制。”
Eclypsium的建议：“鉴于未签名固件的广泛性，企业应扫描其设备中是否有易受攻击的组件，并应在采购过程中评估新设备的固件状态。”
固件漏洞可能很难检测到。 Seals写道，固件攻击“使恶意活动能够在端点保护的雷达范围内飞行，正如最近在使用RobbinHood勒索软件的最新活动中所看到的那样，易受攻击的驱动程序可用于绕过安全保护并使勒索软件能够不受干扰地进行攻击。”
在有关Eclypsium裸露内容的所有报告中，Andy Greenberg的文章对那些需要更好地了解外围设备如何破坏用户安全的人特别有用。
“您桌上的笔记本电脑或数据中心机架上的服务器与其说是网络，不如说是一台计算机。它的互连设备(从硬盘驱动器，网络摄像头到触控板，主要来自第三方)拥有自己的专用芯片。和代码。”
没关系警告已经发出多年了-问题仍然存在。格林伯格说：“计算机内部的那些计算机仍然受到令人不安的保护。”
研究人员甚至发现Linux供应商固件服务存在问题，Linux服务是“允许硬件供应商上传固件更新的安全门户”。
在Threatpost文章中，最重要的是，这个固件问题很难解决。 Seals写道：“外围设备中未签名的固件仍然是网络安全的一个被忽视的方面，并为恶意行为者提供了多种途径来危害笔记本电脑和服务器。”
《 Tom’s Guide》上的Paul Wagenseil对此表示了类似的重视：“由于摄像头，触控板，USB集线器，Wi-Fi使用的固件不安全，由Dell，HP，Lenovo和其他公司生产的数百万台笔记本电脑和台式机容易受到攻击。 PC中内置的第三方供应商提供的Fi卡和其他外围设备。”
海豹引述Eclypsium的首席研究员Jesse Michaels。他说，外围设备制造商对固件签名的做法一直很慢，“使数百万个Windows和Linux系统面临固件攻击的风险，这些固件攻击可能会泄露数据，破坏操作并提供勒索软件。”
Tom’s Guide：“ Microsoft可以全力防御Windows，而Linux开发人员可以针对恶意软件对Linux进行加固，但是操作系统改进对阻止笔记本电脑和台式机内置的数百种第三方外围设备的其他攻击没有太大作用。 。”
Eclypsium的研究人员发现，这些问题实际上适用于从笔记本电脑到服务器的所有类型的Windows和Linux设备。如果不清楚应该归咎于谁，那么到周三也很清楚可以称赞一个实体：苹果。汤姆的指南说：“ Mac免疫。”
Eclypsium报告解释说：“ Apple每次在驱动程序包中的所有文件(包括固件)执行签名验证之前，都先将其加载到设备中，以减轻此类攻击。相反，Windows和Linux仅在以下情况下执行此类验证：最初安装了该软件包。”
HotHardware的读者以以下观点回应了新闻：
“在开发环境之外，不再有任何固件无法签名和验证的借口，操作系统没有任何借口。操作系统应向用户提示有关未签名固件的警告，并以用户可以理解的方式解释其危险。在企业环境中，这些警告可以通过SysAdmin来审查自己的固件，而可以通过GPO等关闭。”