Eset mahnt Firmware-Update an
Gefährliche Schwachstelle in Lenovo-Notebooks
Millionen von Lenovo-Nutzern sollten umgehend die Firmware ihrer Notebooks updaten, so die dringende Empfehlung des Sicherheitsanbieters Eset. Denn Forscher des Unternehmens haben drei Schwachstellen entdeckt, die Angreifern Zugriff auf Lenovo-Laptops verschaffen könnten. Über 100 Modelle des Herstellers seien gefährdet.
Kriminelle könnten laut Eset-Angaben aufgrund der Sicherheitslecks beispielweise gefährliche UEFI-Malware wie Lojax oder ESPecter einschleusen. Der BIOS-Nachfolger UEFI (Unified Extensible Firmware Interface) ist als Schnittstelle zwischen der Firmware eines Computers und dem Betriebssystem für Kriminelle wertvoll, da sie damit Hardware-Informationen im laufenden Betrieb auslesen und manipulieren können.
Da UEFI noch vor dem Betriebssystem bootet, können Angreifer hier resistente Malware implementieren: „UEFI-Malware kann lange unbemerkt bleiben und stellt ein immenses Bedrohungspotenzial dar“, erläutert Eset-Forscher Martin Smolár, der die Schwachstellen entdeckt hat. „Die Schadprogramme werden früh im Boot-Prozess ausgeführt, bevor das Betriebssystem startet. Das bedeutet, dass sie fast alle Sicherheitsmaßnahmen und Begrenzungen auf höheren Ebenen gegen Schadcode umgehen.“
Die beiden Schwachstellen CVE-2021-3970 und CVE-2021-3971 lassen sich laut Eset-Angaben dazu nutzen, den SPI-Flash-Schutz oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess während des laufenden Betriebssystems zu deaktivieren. Die Untersuchung der Binärdateien dieser beiden Backdoors habe die dritte Schwachstelle CVE-2021-3972 zum Vorschein gebracht. Diese ermögliche willkürliche Lese-/Schreibzugriffe vom/auf den SMRAM (System Management RAM), was zur Ausführung von Schadcode mit höheren Privilegien führen könne, so Eset.
Die Security-Forscher raten allen Besitzern von Lenovo-Laptops, die Liste der betroffenen Geräte zu sichten und ihre Firmware nach den Anweisungen des Herstellers zu aktualisieren. Sollten Geräte keine Hersteller-Updates mehr erhalten und von der UEFI SecureBootBackdoor (CVE-2021-3970) betroffen sein, empfehlen die Fachleute, eine TPM-Lösung (Trusted Platform Module) zur Festplattenverschlüsselung zu verwenden. So seien die Festplattendaten unzugänglich, wenn die UEFI-Secure-Boot-Konfiguration geändert wird.
Die Entdeckung dieser UEFI-Hintertüren zeigt laut Security-Fachmann Smolár, dass ihr Einsatz in einigen Fällen nicht so schwierig ist wie erwartet. Und: „Die größere Anzahl von UEFI-Gefahren, die in den letzten Jahren gefunden wurden, deutet darauf hin, dass sich die Angreifer dessen bewusst sind.“
Die Analyse der Eset-Forscher findet sich unter https://www.welivesecurity.com/deutsch/2022/04/19/verwundbare-uefi-backdoors-in-lenovo-laptops-entdeckt.
Lesen Sie mehr zum Thema
