Eclypsium：没签章的周边装置固件成为恶意程式温床

着眼于企业固件安全的Eclypsium在本周警告，危险的周边装置固件已成为Windows与Linux电脑上的安全风险，不管是联想笔电的触控板或小红点（TrackPoint）、HP笔电的视讯摄影机，或者是Dell笔电的Wi-Fi网卡，这些周边的固件更新机制，都缺乏适当的程式码签章，而让骇客有机可趁。而且不只上述装置，这是一个普遍的问题，主要影响Windows及Linux平台，从笔电到服务器不等。

研究人员指出，除了苹果的macOS会在每次载入固件时，针对固件套件的所有档案进行签章验证之外，Windows与Linux都只会在固件初次载入时，进行签章验证。这意味着骇客可透过不安全的固件更新机制，把恶意程式注入固件中。

借由不同固件进驻的恶意程式也会有不同的功能，例如恶意的网络卡固件可能让骇客可偷窥、复制或变更流量；恶意的PCI装置固件可能带来直接内存存取攻击，允许骇客窃取机密资讯或控制整个系统；恶意的视讯摄影机固件，则能捕获使用者环境中的资料。

尽管Eclypsium只验证了联想、HP及Dell特定型号笔电的周边固件更新漏洞，但该公司相信这是一个广泛存在的问题，其它的型号或是其它的品牌，可能藏匿著类似的漏洞。

有趣的是，当Eclypsium发现了Dell XPS 15 9560笔电（采用Windows 10平台），使用的Wi-Fi网卡（高通）含有固件更新漏洞时，该公司同时通知了微软与高通。高通表示，此一芯片组是由处理器管辖，理应由处理器软件负责固件的验证，而微软则说，应该由网卡制造商负责验证载入该装置的固件。

不过，Eclypsium认为，最终还是应该要由周边制造商在固件更新前，行签章验证，而非仰赖操作系统来执行此一功能。

值得注意的是，相关漏洞并不容易修补，因为这些元件一开始就未执行固件更新时的签章检查，因此几乎无法借由固件更新来解决，代表这些安全漏洞，能会一直伴随着这些元件，直至元件的生命周期结束。