固件漏洞持续威胁供应链安全

自动化固件分析工具的发展，以及检查计算机处理器和内存所需技术硬件成本的下降，导致固件漏洞和主板安全弱点报告激增。

在最新案例中，主板制造商技嘉于7月10日披露，其平台上存在四个固件漏洞，尽管原始问题（由独立BIOS供应商AMI提供的固件中）早在几年前就已修补。技嘉在披露中表示，这些问题影响了基于旧版Intel系统的系统管理模式（SMM）模块。

公司表示：“成功利用这些漏洞可能允许具有本地访问权限的攻击者在高特权SMM环境中提升权限或执行任意代码。”

固件安全成为新的攻击面

固件作为主板芯片和硬件与计算机操作系统之间最低级别的软件层，正受到攻击者和漏洞研究人员越来越多的关注。在过去两个月中，发现技嘉问题的固件安全公司Binarly披露了Dell设备中的SMM问题，绕过了统一可扩展固件接口（UEFI）安全启动，并预计下个月披露联想设备中的漏洞。

网络安全公司ESET发现了攻击者创建的UEFI引导工具包，包括2024年针对Linux系统的Bootkitty和2023年的BlackLotus UEFI引导工具包。

进攻性安全服务提供商Cobalt的首席技术官Gunter Ollmann表示，许多主板制造商和独立BIOS供应商（IBV）面临的问题是，虽然利润率很低，但调查固件和主板硬件所需的软件和设备成本已变得相对便宜。

“调查固件和硬件所需的技能和工具曾经更难获得，“他说。“因此，随着其他系统层变得更安全——现在有每月强制补丁——固件是更软的目标，[威胁行为者]已经开始暴露固件开发中不太严格的供应链流程。”

Binarly创始人兼首席执行官Alex Matrosov表示，虽然戴尔、惠普和联想等主要企业供应商正在投入硬件和固件安全资源，但独立BIOS供应商（IBV）经常忽视安全。

“主要问题是设备市场竞争激烈，供应商不仅在上市时间上竞争，还在价格优势上竞争，“Matrosov说。“在许多情况下，一些设备制造商认为安全是不必要的额外开支。”

ESET恶意软件研究员Martin Smolár表示，供应链的复杂性并不是固件和主板开发人员面临的唯一挑战。代码的复杂性也是一个主要问题。

“很少有人意识到UEFI固件在规模和复杂性上与操作系统相当——它实际上由数百万行代码组成，“他说。“正如我们所知，代码越多，出错的空间就越大。”

Matrosov也指出代码复杂性是一个主要问题。“基于UEFI的固件如今已成为一个非常复杂的实时操作系统，拥有自己的USB和网络堆栈，有时甚至还有AI副驾驶，“他说。

阻碍安全的一个做法是：供应商通常试图仅在保密协议下分发安全修复程序，使许多笔记本电脑OEM unaware其代码中的潜在漏洞。这正是技嘉主板存在易受攻击固件版本的确切情况。固件供应商AMI多年前修复了这些问题，但问题仍未传播到所有主板OEM。

CERT/CC报告指出："[T]hese漏洞先前通过私人披露得到解决，但易受攻击的实现仍存在于某些OEM固件构建中，例如技嘉的情况。”

根据卡内基梅隆大学软件工程研究所CERT协调中心（CERT/CC）发布的漏洞报告，虽然这些漏洞影响旧系统，但技嘉的问题很严重，可能允许已入侵计算机或服务器操作系统的攻击者获得对系统的持久控制。

报告指出：“利用可以禁用UEFI安全机制，如安全启动和Intel BootGuard，实现隐秘的固件植入和对系统的持久控制。由于SMM在操作系统下方运行，此类攻击也难以使用传统端点保护工具检测或缓解。”

重大安全问题的原因之一是固件供应商缺乏使用专注于固件安全的自动化和特定领域漏洞管理工具。

然而，Cobalt的Ollmann表示，由于固件随着更好、更现代的硬件集成到主板中而不断发展，工具集也需要现代化。

“从某种意义上说，BIOS从来不是——也永远不会是——一个静态目标，“他说。“它不断发展，如果你考虑所有进入主板架构的创新以及所有必须通过它连接的外设……总会有一些漏洞需要寻找。”

担心其系统可能受到最新问题影响的公司需要大量工作来验证其系统完整性。虽然检测固件受损很困难，但并非不可能。ESET的Smolár表示，可以使用软件从操作系统级别检查固件，也可以使用专门的硬件设备直接从UEFI存储芯片读取固件。

“一旦固件受损，恶意组件发现或移除可能具有挑战性，但通常并非不可能，“他说。“对于移除，最方便的方法是使用硬件编程设备用已知良好的固件备份重新刷写固件。”

Smolár补充说，主板制造商和独立BIOS供应商需要优先考虑安全，为开发人员提供持续的安全编码教育，改进加密密钥管理，并确保默认启用安全功能。