泡泡网主板频道 PCPOP首页      /      主板     /      新闻    /    正文

未打补丁的UEFI BIOS被证实易受攻击

    在近期于加拿大温哥华举办的CanSecWest大会上,两名安全研究人员(Corey Kallenberg和Xeno Kovah)与大家讨论了“你想感染几百万数量级的BIOS?”这一话题。而在现场演示中,他们成功地证实了可以对数以百万计未打补丁的BIOS进行漏洞攻击的可能性。更令人震惊的是,即使是未经训练的普通人,也能够轻松地破解数以百万计的电脑、或者让机器无法使用。

    Kallenberg和Kovah表示,这些漏洞UEFI BIOS代码被制造商广泛采用,但供应商提供的补丁几乎从未被最终用户或系统管理员打上,因此这些设备面临着巨大的安全风险。

    来自LegbaCore的研究,通过演示进一步证实了“LightEater”漏洞的概念是可行的,而技嘉、宏碁、微星、惠普、华硕等公司的主板BIOS普遍在列。

    “LightEater”能够获取漏洞设备的GPG密钥,并将之传输到一个USB便携式存储设备上,而且整个物理接触的过程,耗时不到2分钟。研究人员们重申——该过程可由非技术人员来轻松完成。

    随着BIOS安全性正在成为一个重要问题,个人用户也应该提高警惕,并且留意设备制造商提供的更新。包括联想、戴尔和惠普在内的大厂,已经开始开发新补丁。

    最后,为了防止系统管理模式遭到攻击,Kallenberg和Kovah也会向制造商们提供他们的威胁检测解决方案。■

0人已赞

关注我们

泡泡网

手机扫码关注