一个良好的意义，留下了数百万戴尔PC易受攻击

研究人员多年来涉及具有称为固件的基础计算机代码的安全问题。它常常用漏洞，它难以使用补丁更新，而且越来越多地利用漏洞，越来越多地更新真实世界的攻击目标。现在，一个善意的机制可以轻松更新戴尔计算机的固件本身就是四个基本错误的结果易受攻击。可以利用这些漏洞以获得对目标设备的完全访问权限。

安全公司Eclypsium的研究人员的新发现会影响128个戴尔计算机型号，包括台式机，笔记本电脑和平板电脑。研究人员估计，漏洞总共揭示了3000万个设备，并且利用甚至在包含Microsoft＆＃39; S安全核心PC保护的模型中工作 - 专门构建的系统，以减少固件漏洞。戴尔今天正在为缺陷释放斑块。

“这些漏洞正在易于利用模式。它基本上就像回到时间 - 它几乎就像'90年代，“Eclypsium的主要分析师Jesse Michael说。 “该行业已经取得了应用程序和操作系统级代码中的所有这些安全功能的成熟，但它们＆＃39;重新在新的固件安全功能中关注最佳实践。”

漏洞显示在名为Biosconnect的Dell功能中，允许用户轻松，甚至自动下载固件更新。 Biosconnect是更广泛的Dell更新和远程操作系统管理功能的一部分，称为SupportAssist，其具有潜在问题的漏洞的自身份额。更新机制是攻击者的有价值的目标，因为它们可以污染以分配恶意软件。

这四个漏洞在Biosconnect中发现的研究人员＆＃39; t允许黑客将恶意戴尔固件更新一次调整到所有用户。但是，它们可以被利用，以单独定位受害者设备，并轻松获得对固件的远程控制。妥协设备和＃39; S固件可以为攻击者提供全面控制机器，因为固件协调硬件和软件，并作为计算机的前兆和操作系统和应用程序运行。

“这是一种攻击，让攻击者直接进入BIOS，”引导过程中使用的基本固件是Eclypsium研究员Scott Scheberman表示。 “在操作系统之前甚至靴子，了解发生了什么，攻击已经发生。这是一个想要持久性的攻击者是一种避免，强大，令人望的脆弱性集合。“

一个重要的警告是攻击者无法直接从开放互联网中利用四个生物连接错误。他们需要立足到受害者设备的内部网络。但研究人员强调，在固件层面的易用性和缺乏监控或记录的易用性将使这些漏洞对黑客吸引。一旦攻击者遭到妥协固件，他们可能会在目标中保持未经检测的长期＆＃39;网络。

Eclypsium研究人员向3月3日披露了戴尔的脆弱性。他们将在8月初在拉斯维加斯的Defcon安全会议上展示德国安全会议的调查结果。

“Dell修复了Dell Biosconnect的多个漏洞和一些戴尔客户平台提供的HTTPS引导功能，＆＃34;该公司在一份声明中表示。 “如果客户已打开戴尔自动更新，则会自动更新功能。＆＃34;如果没有，该公司表示客户应该在最早的方便之前手动安装补丁。“

然而，Eclypsium研究人员小心，这是一个更新，您可能不想自动下载。由于生物连接本身是易受攻击的机制，因此获得更新的最安全方法是导航到Dell＆＃39; S驱动程序和下载网站并手动下载并从那里安装更新。但是，对于普通用户，最好的方法是简单地更新戴尔，但是您可以尽快更新您的戴尔。

“我们看到了像逻辑缺陷在固件安全的新空间中出现的逻辑缺陷相对简单的这些错误，”Eclypsium＆＃39;迈克尔说。 “你相信这所房子已经以安全的方式建造，但实际上坐在沙质基础上。＆＃34;

通过固件不安全的许多噩梦攻击情景，迈克尔呼吸。 “对不起，”他说。 ＆＃34;我可以咆哮这个。“