Lenovo-PCs über BIOS-Lücke angreifbar

Lenovo hat bestätigt, dass sich eine von einem unabhängigen Sicherheitsforscher entdeckte BIOS-Schwachstelle im System Management Mode (SMM) einiger Lenovo-PCs von einem Angreifer mit lokalem Administratorzugang ausnutzen lässt, um auf dem System beliebigen Programmcode auszuführen. Mit dem System Management Mode ist es möglich, ohne Umweg über das Betriebssystem direkt auf Hardwarekomponenten zuzugreifen.

Das Product Security Incident Response Team (PSIRT) von Lenovo stuft das von der Sicherheitslücke ausgehende Risiko in einer Warnung als “hoch” ein. Den Sicherheitsforscher, der sie entdeckt hatte, habe man mehrmals erfolglos versucht, zur Zusammenarbeit zu bewegen, bevor dieser die BIOS-Lücke nun öffentlich gemacht hat.

Die Untersuchungen des Herstellers haben gezeigt, dass der anfällige Code von mindestens einem Zulieferer stammt. Betroffen seien ausschließlich einzelne PC-Systeme mit Intel-Chipsätzen.

Derzeit sucht Lenovo noch nach dem Autor des fehlerhaften Codes und versucht zu klären, warum der überhaupt Teil des BIOS ist. Wie das Lenovo PSIRT erklärt, steht mit dazu mit allen BIOS-Zulieferern sowie mit Intel in Kontakt. In Zusammenarbeit mit ihnen soll dann auch umgehend ein Patch für die Sicherheitslücke entwickelt und verteilt werden.

Lenovo erklärt, dass es regelmäßig auf Firmen zurückgreift, die an die Hardware von OEM-Herstellern angepasste BIOS-Firmware programmieren. Die nutzen dazu üblicherweise von Chipherstellern wie AMD oder Intel bereitgestellten Standard-Code und ergänzen diesen, um ihn auf das entsprechende Zielsystem abzustimmen. Nach eigenen Angaben arbeitet Lenovo mit den drei größten Spezialisten für diese Aufgabe zusammen.

Anfang Mai hatte Trustwave auf eine Schwachstelle im Lenovo Solution Center hingewiesen. Diese Software wird von Lenovo auf nahezu allen PCs, Notebooks und Tablets vorinstalliert und soll die Verwaltung von Sicherheitsfunktionen sowie einen Überblick über den Zustand von Software, Hardware und Netzwerkverbindungen ermöglichen. Weltweit sind davon mehrere Millionen Nutzer betroffen gewesen.

Über die Lücke hätte sich ein Angreifer erweiterte Benutzerrechte verschaffen und unter Umständen die vollständig die Kontrolle über ein System übernehmen könne. Das wäre auch möglich gewesen, wenn das Solution Center augenscheinlich gar nicht ausgeführt wird. Im Gegensatz zur aktuellen Lücke wurde diese Schwachstelle jedoch vertraulich an Lenovo gemeldet. Der Hersteller konnte dadurch rechtzeitig ein Update für das Solution Center bereitstellen. Das wird allerdings nicht automatisch verteilt. Kunden müssen die Software manuell starten und werden dann aufgefordert, die Aktualisierung auf Version 3.3.002 zu installieren.

Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

5 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

5 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago