数码爱好者朋友都知道,微软最新的操作系统Windows11对硬件的要求非常高,其中最引人关注、引发强烈争议的就是要求机器必须支持TPM2.0,此举直接将一些还不算太老的机器拒之门外,很多朋友对此耿耿于怀。
但是平心而论,这个事情不应该一边倒地指责微软,因为现在即使是TPM2.0技术自身,也不能说已经彻底成熟完美,仍然存在一些安全问题和隐患,搭载TPM2.0芯片的机器也照样可能存在漏洞,遭受攻击。
近期,戴尔在其多款外星人(Alienware) 、灵越(Inspiron )和 纬度(Latitude)系列电脑产品的BIOS中发现了5个新安全漏洞(部分是由第三方安全公司Binarly提交的),这些漏洞可被攻击者利用,执行具有潜在破坏性的代码。
这5个安全漏洞分别被标记为: CVE-2022-24415、CVE-2022-24416、CVE-2022-24419、CVE-2022-24420 和 CVE-2022-24421,在CVSS评级中,最高的严重级别被判为8.2级,由此可见,这些安全漏洞是非常严重的。
本截图来自戴尔官网
上述漏洞主要利用了X86微控制器的系统管理模式(SMM ),该模式负责诸如电源管理、系统硬件控制、和温度调控,其代码通常是由制造商所开发定制的,享有最高级别的运行权限,在配备TPM芯片的机器上安装操作系统后,这些代码和任务对普通用户是不可见的。
每当执行这些请求操作时,都会调用不可屏蔽的中断 (SMI),执行厂商在BIOS中所安装部署的 SMM 代码。如果这部分代码存在漏洞被攻击利用,比如植入基于固件的 rootkit恶意代码,隐蔽度极高,普通的安全措施和安全软件根本无法应对处理。
不过,想要通过这种方式实施攻击,攻击者必须首先在本地进行身份验证,对电脑进行物理访问,难度要比通过网络进行远程攻击大得多,因此,实际受到攻击危害用户的数量可能相对有限,但是仍然不容忽视。
相对于修复Windows系统的漏洞来说,修复BIOS的漏洞则要困难得多,因为BIOS提供的都是底层功能和接口,是供其它硬件、操作系统和应用软件调用的,牵一发而动全身,对它进行任何修改都会直接影响到其它方面。
另外,由于具体的软硬件平台众多,BIOS还必须要保持非常高的兼容性,要兼容一些旧有的标准和技术。只有这样才能保障一些比较老的硬件和软件能正常运行,如果发现漏洞就彻底关闭相应部分的代码,这是不可行的,所以“修复”BIOS只能采取保守策略。
这就是为什么BIOS漏洞往往很难在短期内彻底、完美地修复,同一个漏洞可能需要进行多次修复的原因。
目前已知存在漏洞的具体型号包括:Alienware 13、Alienware 15 和 Alienware 17 笔记本电脑,Edge Gateway 3000 和 5000 服务器、Inspiron 笔记本电脑和一体机、Vostro 笔记本电脑和台式机、Embedded Box PC 3000 和 5000、Wyse 7040 瘦客户端和 XPS 8930台式机,完全机型列表请阅读戴尔官网的说明。
好消息是戴尔方面目前已经发布了修复这些漏洞的新版BIOS,建议上述机型的用户立即*载下**更新。
综上所述,“安全”问题是绝对不容忽视的,尤其是对于广大的商业用户和办公用户来说,这类用户的电脑里往往存储着非常重要、敏感的商业数据,其价值要远高于电脑和硬件本身的价值,出于安全考虑,按要求升级包括TPM2.0在内的硬件,是非常有必要的。