Eset-Sicherheitswarnung Gefährliche Schwachstelle in Lenovo-Notebooks entdeckt

Von Margrit Lingner

Sicherheitsspezialisten von Eset haben eine schwerwiegende Sicherheitslücke bei über 100 verschiedenen Notebook-Modellen von Lenovo entdeckt. Über ein Sicherheitsleck im BIOS könnten Cyberkriminelle ungehindert auf sensible Daten zugreifen.

Anbieter zum Thema

Forscher des Sicherheitsanbieters Eset haben eine schwerwiegende Sicherheitslücke im BIOS verschiedener Lenovo-Computer entdeckt und empfehlen dringend ein Firmware-Update.
Forscher des Sicherheitsanbieters Eset haben eine schwerwiegende Sicherheitslücke im BIOS verschiedener Lenovo-Computer entdeckt und empfehlen dringend ein Firmware-Update.
(Bild: creative soul - stock.adobe.com)

Millionen Besitzer von Lenovo-Notebooks sollten schnellstmöglich die Firmware ihrer Geräte auf den neuesten Stand bringen – so die dringende Empfehlung des IT-Sicherheitsherstellers Eset. Betroffen sind vor allem Consumer-Geräte wie zum Beispiel verschiedene Ideapads und Yoga-Notebooks. Forscher des Security-Anbieters entdeckten gleich drei gefährliche Schwachstellen in den Geräten, die Angreifern Tür und Tor auf den Laptops öffnen. So kann beispielsweise über die Sicherheitslecks UEFI-Malware, wie Lojax oder ESPecter eingeschleust werden. Das Unified Extensible Firmware Interface (UEFI) ist die Firmware des Mainboards und für Cyberkriminelle deswegen so wertvoll, weil sie darüber Hardwareinformationen im laufenden Betrieb auslesen und manipulieren können. Da UEFI noch vor dem Betriebssystem gestartet wird, ist es möglich, hier resistente Malware zu implementieren. Lenovo hat inzwischen eine Liste der betroffenen Mobilcomputer im Internet veröffentlicht.

In einer kurzen Stellungnahme bestätigt Lenovo die Schwachstellen. Allerdings stuft der Hersteller das Gefahrenpotenzial nicht als schwerwiegend ein. „Lenovo dankt Eset dafür, dass es auf ein Problem bei Treibern aufmerksam gemacht hat, die bei einigen Consumer-Notebooks zum Einsatz kommen. Die Treiber wurden repariert, und Kunden, die das Update wie in der Lenovo-Anleitung beschrieben durchführen, sind geschützt. Lenovo begrüßt die Zusammenarbeit mit BIOS-Forschern, da wir unsere Investitionen in die BIOS-Sicherheit erhöhen, um sicherzustellen, dass unsere Produkte weiterhin die Industriestandards erfüllen oder übertreffen.“

Updates installieren oder TPM-Lösung einsetzen

Die Sicherheitsspezialisten von Eset und Lenovo raten allen Besitzern von Lenovo-Notebooks, sich die Liste der betroffenen Geräte anzuschauen und ihre Firmware nach den Anweisungen des Herstellers zu aktualisieren. Sollten Geräte keine Hersteller-Updates mehr erhalten und von der UEFI SecureBootBackdoor (CVE-2021-3970) betroffen sein, empfiehlt Eset, eine Trusted-Platform-Module-Lösung (TPM) zur vollständigen Festplattenverschlüsselung zu verwenden. So sind die Festplattendaten unzugänglich, wenn die UEFI Secure Boot-Konfiguration geändert wird.

„UEFI-Malware kann lange unbemerkt bleiben und stellt ein immenses Bedrohungspotential dar. Die Schadprogramme werden früh im Boot-Prozess ausgeführt, bevor das Betriebssystem startet. Das bedeutet, dass sie fast alle Sicherheitsmaßnahmen und Begrenzungen auf höheren Ebenen gegen Schadcode umgehen“, erklärt Martin Smolár, Eset-Sicherheitsforscher. „Unsere Entdeckung dieser UEFI-Hintertüren zeigt, dass der Einsatz von diesen speziellen Bedrohungen in einigen Fällen nicht so schwierig ist, wie erwartet. Die größere Anzahl von UEFI-Gefahren, die in den letzten Jahren gefunden wurden, deutet darauf hin, dass sich die Angreifer dessen bewusst sind“, fügt er hinzu. „Alle UEFI-Bedrohungen, die in den letzten Jahren entdeckt wurden, wie LoJax, MasaicRegressor, MoonBounce, ESPecter oder Finspy, mussten die Sicherheitsmechanismen auf irgendeine Weise umgehen oder deaktivieren.“

Die gefundenen BIOS-Sicherheitslücken

Die ersten beiden Schwachstellen (CVE-2021-3970, CVE-2021-3971) bei den Lenovo-Geräten werden als „sichere“, in die UEFI-Firmware eingebaute, Hintertüren bezeichnet. Der Grund für diese Bezeichnung sind die Namen, die den UEFI-Treibern von Lenovo gegeben wurden, die eine dieser Schwachstellen (CVE-2021-3971) implementieren: SecureBackDoor und SecureBackDoorPeim. Diese eingebauten Hintertüren können aktiviert werden, um den SPI-Flash-Schutz (BIOS-Kontrollregister-Bits und Protection-Range-Register) oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess während des laufenden Betriebssystems zu deaktivieren.

Darüber hinaus hat die Untersuchung der Binärdateien der „sicheren“ Backdoors eine dritte Schwachstelle zum Vorschein gebracht (CVE-2021-3972). Diese ermöglicht willkürliche Lese-/Schreibzugriffe von/auf System Management RAM (kurz: SMRAM), was zur Ausführung von bösartigem Code mit höheren Privilegien führen kann.

Was ist UEFI?

Das Unified Extensible Firmware Interface (UEFI) ist der Begriff für die Firmware des Mainboards und somit ein wichtiger Teil der Schnittstelle zwischen Hard- und Software eines Computers, insbesondere beim Hochfahren. UEFI löste den Vorgänger BIOS (Basic Input/Output System) ab und kann mit moderner Hardware besser kommunizieren. Zu den großen Vorteilen zählen zum einen die deutlich schnellere Geschwindigkeit beim Booten des Systems, zum anderen die Unterstützung von Festplatten mit größeren Kapazitäten.

Eset hat die Analyse der Sicherheitslücke auf WeLiveSecurity veröffentlicht.

Die Liste der gefährdeten Lenovo-Computer und die entsprechenden Firmware-Updates finden Nutzer auf den Support-Webseiten des Herstellers.

Newsletter

Ihre täglichen News aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48206393)