Eset warnt 19.04.2022, 11:31 Uhr

Gefährliche Schwachstelle in Lenovo-Notebooks entdeckt

Der IT-Security-Spezialist Eset warnt vor einer Sicherheitslücke in Notebooks des Herstellers Lenovo. Besitzerinnen und Besitzern betroffener Geräte wird empfohlen, umgehend ihre Firmware upzudaten.
Lenovo-Notebooks sollten mit neuer Firmware gegen die von Eset entdeckte Schwachstelle abgesichert werden
(Quelle: Lenovo)
Millionen von Lenovo-Nutzerinnen und -Nutzer sollten schnellstmöglich die Firmware ihrer Geräte auf den neuesten Stand bringen – so die dringende Empfehlung des Cybersecurity-Herstellers Eset. Forscher des Unternehmens haben nämlich eigenen Angaben zufolge gleich drei gefährliche Schwachstellen auf den Geräten entdeckt, die Angreifern Tür und Tor auf den Laptops öffnen.
So könnten beispielsweise über die Sicherheitslecks brandgefährliche UEFI-Malware, wie Lojax oder ESPecter eingeschleust werden, schreiben die Eset-Spezialisten in einem Blog-Beitrag auf WeLiveSecurity. Das Unified Extensible Firmware Interface (UEFI) ist die Firmware des Mainboards und für Cyberkriminelle deswegen so wertvoll, weil sie darüber Hardwareinformationen im laufenden Betrieb auslesen und manipulieren können. Da UEFI noch vor dem Betriebssystem gestartet wird, ist es möglich, hier resistente Malware zu implementieren.
Insgesamt umfasst die Gefährdungsliste mehr als 100 verschiedene Modelle des Herstellers Lenovo, die auf der entsprechenden Lenovo-Supportseite aufgelistet sind. Die Liste von Lenovo enthält nur Geräte, die derzeit noch Entwicklungssupport erhalten; sprich: für die jetzt noch Sicherheitsupdates erhältlich sind. Zusätzlich seien aber laut Eset auch Geräte betroffen, die keine Updates mehr erhalten, so etwa jene, auf denen die Schwachstelle zum ersten Mal entdeckt wurde: Ideapad 330-15IGM und Ideapad 110-15IGR.

Updates umgehend installieren oder TPM-Lösung einsetzen

Die Eset-Forscher raten allen Besitzerinnen und Besitzern von Lenovo-Laptops, sich die Liste der betroffenen Geräte anzuschauen und ihre Firmware nach den Anweisungen des Herstellers zu aktualisieren.
Sollten Geräte keine Hersteller-Updates mehr erhalten und von der UEFI SecureBootBackdoor (CVE-2021-3970) betroffen sein, empfehlen die Experten, eine sogenannte «Trusted Platform Module»-Lösung (TPM) zur vollständigen Festplattenverschlüsselung zu verwenden. Dadurch seien die Festplattendaten unzugänglich, wenn die UEFI-Secure-Boot-Konfiguration geändert werde, schreibt Eset.
«UEFI-Malware kann lange unbemerkt bleiben und stellt ein immenses Bedrohungspotential dar», warnt Eset-Forscher Martin Smolár, der die Schwachstellen entdeckt hat. «Die Schadprogramme werden früh im Boot-Prozess ausgeführt, bevor das Betriebssystem startet. Das bedeutet, dass sie fast alle Sicherheitsmassnahmen und Begrenzungen auf höheren Ebenen gegen Schadcode umgehen», gibt er weiter zu bedenken. «Unsere Entdeckung dieser UEFI-Hintertüren zeigt, dass der Einsatz von diesen speziellen Bedrohungen in einigen Fällen nicht so schwierig ist wie erwartet. Die grössere Anzahl von UEFI-Gefahren, die in den letzten Jahren gefunden wurden, deutet darauf hin, dass sich die Angreifer dessen bewusst sind», fügt er hinzu. «Alle UEFI-Bedrohungen, die in den letzten Jahren entdeckt wurden, wie LoJax, MasaicRegressor, MoonBounce, ESPecter oder Finspy, mussten die Sicherheitsmechanismen auf irgendeine Weise umgehen oder deaktivieren», weiss Smolár zu berichten.

«Sichere» Backdoor deaktiviert UEFI-Secure-Boot-Funktion

Die ersten beiden dieser Schwachstellen (CVE-2021-3970, CVE-2021-3971) werden gemäss Angaben von Eset als «sichere», in die UEFI-Firmware eingebaute, Hintertüren bezeichnet. Der Grund für diese Bezeichnung sind die Namen, die den UEFI-Treibern von Lenovo gegeben wurden, die eine dieser Schwachstellen (CVE-2021-3971) implementieren: SecureBackDoor und SecureBackDoorPeim. Diese eingebauten Hintertüren könnten aktiviert werden, um den SPI-Flash-Schutz (BIOS-Kontrollregister-Bits und Protection-Range-Register) oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess während des laufenden Betriebssystems zu deaktivieren, schreibt Eset.
Darüber hinaus habe die Untersuchung der Binärdateien der «sicheren» Backdoors eine dritte Schwachstelle zum Vorschein gebracht (CVE-2021-3972), heisst es weiter. Diese ermögliche willkürliche Lese-/Schreibzugriffe von/auf System Management RAM (kurz: SMRAM), was zur Ausführung von bösartigem Code mit höheren Privilegien führen könne.



Kommentare
Es sind keine Kommentare vorhanden.