Lenovo-PCs über BIOS-Lücke angreifbar

Lenovo hat bestätigt, dass sich eine von einem unabhängigen Sicherheitsforscher entdeckte BIOS-Schwachstelle im System Management Mode (SMM) einiger Lenovo-PCs von einem Angreifer mit lokalem Administratorzugang ausnutzen lässt, um auf dem System beliebigen Programmcode auszuführen. Mit dem System Management Mode ist es möglich, ohne Umweg über das Betriebssystem direkt auf Hardwarekomponenten zuzugreifen.

Das Product Security Incident Response Team (PSIRT) von Lenovo stuft das von der Sicherheitslücke ausgehende Risiko in einer Warnung als “hoch” ein. Den Sicherheitsforscher, der sie entdeckt hatte, habe man mehrmals erfolglos versucht, zur Zusammenarbeit zu bewegen, bevor dieser die BIOS-Lücke nun öffentlich gemacht hat.

Die Untersuchungen des Herstellers haben gezeigt, dass der anfällige Code von mindestens einem Zulieferer stammt. Betroffen seien ausschließlich einzelne PC-Systeme mit Intel-Chipsätzen.

Derzeit sucht Lenovo noch nach dem Autor des fehlerhaften Codes und versucht zu klären, warum der überhaupt Teil des BIOS ist. Wie das Lenovo PSIRT erklärt, steht mit dazu mit allen BIOS-Zulieferern sowie mit Intel in Kontakt. In Zusammenarbeit mit ihnen soll dann auch umgehend ein Patch für die Sicherheitslücke entwickelt und verteilt werden.

Lenovo erklärt, dass es regelmäßig auf Firmen zurückgreift, die an die Hardware von OEM-Herstellern angepasste BIOS-Firmware programmieren. Die nutzen dazu üblicherweise von Chipherstellern wie AMD oder Intel bereitgestellten Standard-Code und ergänzen diesen, um ihn auf das entsprechende Zielsystem abzustimmen. Nach eigenen Angaben arbeitet Lenovo mit den drei größten Spezialisten für diese Aufgabe zusammen.

Anfang Mai hatte Trustwave auf eine Schwachstelle im Lenovo Solution Center hingewiesen. Diese Software wird von Lenovo auf nahezu allen PCs, Notebooks und Tablets vorinstalliert und soll die Verwaltung von Sicherheitsfunktionen sowie einen Überblick über den Zustand von Software, Hardware und Netzwerkverbindungen ermöglichen. Weltweit sind davon mehrere Millionen Nutzer betroffen gewesen.

Über die Lücke hätte sich ein Angreifer erweiterte Benutzerrechte verschaffen und unter Umständen die vollständig die Kontrolle über ein System übernehmen könne. Das wäre auch möglich gewesen, wenn das Solution Center augenscheinlich gar nicht ausgeführt wird. Im Gegensatz zur aktuellen Lücke wurde diese Schwachstelle jedoch vertraulich an Lenovo gemeldet. Der Hersteller konnte dadurch rechtzeitig ein Update für das Solution Center bereitstellen. Das wird allerdings nicht automatisch verteilt. Kunden müssen die Software manuell starten und werden dann aufgefordert, die Aktualisierung auf Version 3.3.002 zu installieren.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago