Eset mahnt Firmware-Update an

Gefährliche Schwachstelle in Lenovo-Notebooks

19. April 2022, 13:47 Uhr | Wilhelm Greiner | Kommentar(e)
Lenovo-Notebook
© Lenovo

Lenovo-Nutzer sollten umgehend die Firmware ihrer Notebooks updaten, so die dringende Empfehlung von Eset. Denn Forscher des Unternehmens haben drei Schwachstellen entdeckt, die Angreifern Zugriff auf Lenovo-Laptops verschaffen könnten. Über 100 Modelle des Herstellers seien gefährdet.

Kriminelle könnten laut Eset-Angaben aufgrund der Sicherheitslecks beispielweise gefährliche UEFI-Malware wie Lojax oder ESPecter einschleusen. Der BIOS-Nachfolger UEFI (Unified Extensible Firmware Interface) ist als Schnittstelle zwischen der Firmware eines Computers und dem Betriebssystem für Kriminelle wertvoll, da sie damit Hardware-Informationen im laufenden Betrieb auslesen und manipulieren können.

Da UEFI noch vor dem Betriebssystem bootet, können Angreifer hier resistente Malware implementieren: „UEFI-Malware kann lange unbemerkt bleiben und stellt ein immenses Bedrohungspotenzial dar“, erläutert Eset-Forscher Martin Smolár, der die Schwachstellen entdeckt hat. „Die Schadprogramme werden früh im Boot-Prozess ausgeführt, bevor das Betriebssystem startet. Das bedeutet, dass sie fast alle Sicherheitsmaßnahmen und Begrenzungen auf höheren Ebenen gegen Schadcode umgehen.“

Die beiden Schwachstellen CVE-2021-3970 und CVE-2021-3971 lassen sich laut Eset-Angaben dazu nutzen, den SPI-Flash-Schutz oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess während des laufenden Betriebssystems zu deaktivieren. Die Untersuchung der Binärdateien dieser beiden Backdoors habe die dritte Schwachstelle CVE-2021-3972 zum Vorschein gebracht. Diese ermögliche willkürliche Lese-/Schreibzugriffe vom/auf den SMRAM (System Management RAM), was zur Ausführung von Schadcode mit höheren Privilegien führen könne, so Eset.
 
Die Security-Forscher raten allen Besitzern von Lenovo-Laptops, die Liste der betroffenen Geräte zu sichten und ihre Firmware nach den Anweisungen des Herstellers zu aktualisieren. Sollten Geräte keine Hersteller-Updates mehr erhalten und von der UEFI SecureBootBackdoor (CVE-2021-3970) betroffen sein, empfehlen die Fachleute, eine TPM-Lösung (Trusted Platform Module) zur Festplattenverschlüsselung zu verwenden. So seien die Festplattendaten unzugänglich, wenn die UEFI-Secure-Boot-Konfiguration geändert wird.

Die Entdeckung dieser UEFI-Hintertüren zeigt laut Security-Fachmann Smolár, dass ihr Einsatz in einigen Fällen nicht so schwierig ist wie erwartet. Und: „Die größere Anzahl von UEFI-Gefahren, die in den letzten Jahren gefunden wurden, deutet darauf hin, dass sich die Angreifer dessen bewusst sind.“
 
Die Analyse der Eset-Forscher findet sich unter https://www.welivesecurity.com/deutsch/2022/04/19/verwundbare-uefi-backdoors-in-lenovo-laptops-entdeckt.

Zuerst erschienen auf lanline.de.

Anbieter zum Thema

zu Matchmaker+

Verwandte Artikel

Eset, Lenovo

Notebook

Mobile Security

Matchmaker+