Lenovo-PCs über BIOS-Lücke angreifbar
Betroffen sind bestimmte Lenovo-Rechner mit Intel-Chipsätzen. Der Hersteller arbeitet derzeit gemeinsam mit Intel und BIOS-Zulieferern an einem Patch für die Lücke im System Management Mode. Lenovo selbst stuft das von der Schwachstelle ausgehende Risiko als “hoch” ein.
Lenovo hat bestätigt, dass sich eine von einem unabhängigen Sicherheitsforscher entdeckte BIOS-Schwachstelle im System Management Mode (SMM) einiger Lenovo-PCs von einem Angreifer mit lokalem Administratorzugang ausnutzen lässt, um auf dem System beliebigen Programmcode auszuführen. Mit dem System Management Mode ist es möglich, ohne Umweg über das Betriebssystem direkt auf Hardwarekomponenten zuzugreifen.
Das Product Security Incident Response Team (PSIRT) von Lenovo stuft das von der Sicherheitslücke ausgehende Risiko in einer Warnung als “hoch” ein. Den Sicherheitsforscher, der sie entdeckt hatte, habe man mehrmals erfolglos versucht, zur Zusammenarbeit zu bewegen, bevor dieser die BIOS-Lücke nun öffentlich gemacht hat.
Die Untersuchungen des Herstellers haben gezeigt, dass der anfällige Code von mindestens einem Zulieferer stammt. Betroffen seien ausschließlich einzelne PC-Systeme mit Intel-Chipsätzen.
Derzeit sucht Lenovo noch nach dem Autor des fehlerhaften Codes und versucht zu klären, warum der überhaupt Teil des BIOS ist. Wie das Lenovo PSIRT erklärt, steht mit dazu mit allen BIOS-Zulieferern sowie mit Intel in Kontakt. In Zusammenarbeit mit ihnen soll dann auch umgehend ein Patch für die Sicherheitslücke entwickelt und verteilt werden.
Lenovo erklärt, dass es regelmäßig auf Firmen zurückgreift, die an die Hardware von OEM-Herstellern angepasste BIOS-Firmware programmieren. Die nutzen dazu üblicherweise von Chipherstellern wie AMD oder Intel bereitgestellten Standard-Code und ergänzen diesen, um ihn auf das entsprechende Zielsystem abzustimmen. Nach eigenen Angaben arbeitet Lenovo mit den drei größten Spezialisten für diese Aufgabe zusammen.
Anfang Mai hatte Trustwave auf eine Schwachstelle im Lenovo Solution Center hingewiesen. Diese Software wird von Lenovo auf nahezu allen PCs, Notebooks und Tablets vorinstalliert und soll die Verwaltung von Sicherheitsfunktionen sowie einen Überblick über den Zustand von Software, Hardware und Netzwerkverbindungen ermöglichen. Weltweit sind davon mehrere Millionen Nutzer betroffen gewesen.
Über die Lücke hätte sich ein Angreifer erweiterte Benutzerrechte verschaffen und unter Umständen die vollständig die Kontrolle über ein System übernehmen könne. Das wäre auch möglich gewesen, wenn das Solution Center augenscheinlich gar nicht ausgeführt wird. Im Gegensatz zur aktuellen Lücke wurde diese Schwachstelle jedoch vertraulich an Lenovo gemeldet. Der Hersteller konnte dadurch rechtzeitig ein Update für das Solution Center bereitstellen. Das wird allerdings nicht automatisch verteilt. Kunden müssen die Software manuell starten und werden dann aufgefordert, die Aktualisierung auf Version 3.3.002 zu installieren.