Gefährliche Schwachstelle in Lenovo-Notebooks entdeckt

Dies ist eine dringende Empfehlung des europäischen IT-Sicherheitsherstellers ESET. Forscher des Unternehmens entdeckten gleich drei gefährliche Schwachstellen auf den Geräten, die Angreifern Tür und Tor auf den Laptops öffnen. So könnten beispielweise über die Sicherheitslecks brandgefährliche UEFI-Malware, wie Lojax oder ESPecter eingeschleust werden.

Das Unified Extensible Firmware Interface (UEFI) ist die Firmware des Mainboards und für Cyberkriminelle deswegen so wertvoll, weil sie darüber Hardwareinformationen im laufenden Betrieb auslesen und manipulieren können. Da UEFI noch vor dem Betriebssystem gestartet wird, ist es möglich, hier resistente Malware zu implementieren. Insgesamt umfasst die Gefährdungsliste mehr als 100 verschiedene Modelle des Herstellers Lenovo. Ihre Analyse haben die Forscher nun auf WeLiveSecurity veröffentlicht.

Updates umgehend installieren oder TPM-Lösung einsetzen

Die ESET Forscher raten allen Besitzern von Lenovo-Laptops, sich die Liste der betroffenen Geräte anzuschauen und ihre Firmware nach den Anweisungen des Herstellers zu aktualisieren. Sollten Geräte keine Hersteller-Updates mehr erhalten und von der UEFI SecureBootBackdoor (CVE-2021-3972) betroffen sein, empfehlen die Experten, eine Trusted Platform Module-Lösung zur vollständigen Festplattenverschlüsselung zu verwenden. So sind die Festplattendaten unzugänglich, wenn die UEFI Secure Boot-Konfiguration geändert wird.

“UEFI-Malware kann lange unbemerkt bleiben und stellt ein immenses Bedrohungspotential dar. Die Schadprogramme werden früh im Boot-Prozess ausgeführt, bevor das Betriebssystem startet. Das bedeutet, dass sie fast alle Sicherheitsmaßnahmen und Begrenzungen auf höheren Ebenen gegen Schadcode umgehen”, sagt ESET-Forscher Martin Smolár, der die Schwachstellen entdeckt hat. “Unsere Entdeckung dieser UEFI-Hintertüren zeigt, dass der Einsatz von diesen speziellen Bedrohungen in einigen Fällen nicht so schwierig ist wie erwartet. Die größere Anzahl von UEFI-Gefahren, die in den letzten Jahren gefunden wurden, deutet darauf hin, dass sich die Angreifer dessen bewusst sind”, fügt er hinzu. “Alle UEFI-Bedrohungen, die in den letzten Jahren entdeckt wurden, wie LoJax, MasaicRegressor, MoonBounce, ESPecter oder Finspy, mussten die Sicherheitsmechanismen auf irgendeine Weise umgehen oder deaktivieren.”

“Sichere” Backdoors deaktiviert UEFI-Secure-Boot-Funktion

Die ersten beiden dieser Schwachstellen (CVE-2021-3972, CVE-2021-3971) werden als “sichere”, in die UEFI-Firmware eingebaute, Hintertüren bezeichnet. Der Grund für diese Bezeichnung sind die Namen, die den UEFI-Treibern von Lenovo gegeben wurden, die eine dieser Schwachstellen (CVE-2021-3971) implementieren: SecureBackDoor und SecureBackDoorPeim. Diese eingebauten Hintertüren können aktiviert werden, um den SPI-Flash-Schutz (BIOS-Kontrollregister-Bits und Protection-Range-Register) oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess während des laufenden Betriebssystems zu deaktivieren.

Darüber hinaus hat die Untersuchung der Binärdateien der “sicheren” Backdoors eine dritte Schwachstelle zum Vorschein gebracht (CVE-2021-3970). Diese ermöglicht willkürliche Lese-/Schreibzugriffe von/auf System Management RAM (kurz: SMRAM), was zur Ausführung von bösartigem Code mit höheren Privilegien führen kann.

Was ist UEFI?

Das Unified Extensible Firmware Interface (UEFI) ist der Begriff für die Firmware des Mainboards und somit ein wichtiger Teil der Schnittstelle zwischen Hard- und Software eines Computers, insbesondere beim Hochfahren. UEFI löste den Vorgänger BIOS (Basic Input/Output System) ab und kann mit moderner Hardware besser kommunizieren. Zu den großen Vorteilen zählen zum einen die deutlich schnellere Geschwindigkeit beim Booten des Systems, zum anderen die Unterstützung von Festplatten mit größeren Kapazitäten.

Roger Homrich

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

2 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

3 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

4 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

4 Tagen ago