Schwachstellen in Lenovo-Laptops erlauben direkten Zugriff aufs Mainboard
Eset hat gleich drei Schwachstellen in den Laptops von Lenovo entdeckt. Die Sicherheitslücken ermöglichen es einem Angreifer, die Firmware des Mainboards zu manipulieren und so fast alle Sicherheitsmassnahmen auf den höheren Ebenen zu umgehen.
Der slowakische IT-Security-Anbieter Eset warnt gemeinsam mit dem Hersteller Lenovo vor dessen Consumer-Laptops. Insgesamt sind über 100 verschiedene Modelle betroffen: von kostengünstigen Geräten wie dem Ideapad-3 über Gaming-Boliden wie dem Legion 7 bis zu den neuen Yoga-Slim-Produkten.
Sicherheitsforschende von Eset entdeckten gleich drei Schwachstellen, die Angreifern "Tür und Tor auf den Laptops öffnen", wie der Sicherheitsanbieter schreibt. Die ersten beiden Schwachstellen betreffen die UEFI-Treiber. Die Abkürzung steht für Unified Extensible Firmware Interface. Das Modul ist Teil der Firmware des Mainboards und ermöglicht unter anderem Sicherheitsfunktionen wie Secure Boot - also das Starten des Rechners in einem abgesicherten Modus.
Das heisst, Angreifer könnten auf der Ebene des Mainboards Malware auf den Laptops einschleusen. "UEFI-Malware kann lange unbemerkt bleiben und stellt ein immenses Bedrohungspotential dar", sagt Eset-Forscher Martin Smolár, der die Schwachstellen entdeckte. "Die Schadprogramme werden früh im Boot-Prozess ausgeführt, bevor das Betriebssystem startet." Somit würden sie fast alle Sicherheitsmassnahmen gegen Schadprogramme auf den höheren Ebenen umgehen.
Bei den ersten beiden Schwachstellen (CVE-2021-3970, CVE-2021-3971) handelt es sich eigentlich um "sichere", in die UEFI-Firmware eingebaute Hintertüren. Diese sollten nur während des Herstellungsprozesses der Laptops verwendet werden können. Allerdings wurden sie in den ausgelieferten Modellen nicht ordnungsgemäss deaktiviert. Cyberkriminelle könnten diese Hintertüren nun verwenden, um den SPI-Flash-Schutz (BIOS-Kontrollregister-Bits und Protection-Range-Register) oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess während des laufenden Betriebssystems zu deaktivieren.
Updaten oder verschlüsseln
Ein näherer Blick auf die Binärdateien dieser Hintertüren brachte gemäss Eset die dritte Sicherheitslücke zum Vorschein (CVE-2021-3972). Diese ermögliche willkürliche Lese- und Schreibzugriffe auf das System Management RAM. So könnten Angreifer bösartigen Code mit höheren Privilegien ausführen.
Eset empfiehlt Lenovo-Kunden, sich die Liste mit den betroffenen Geräten anzusehen und ihre Firmware entsprechen den Anweisungen des Herstellers zu aktualisieren. Die Liste wurde von Lenovo hier veröffentlicht.
Es gibt auch Geräte, die von der Schwachstelle UEFI SecureBootBackdoor (CVE-2021-3970) betroffen sind, aber keine Updates mehr erhalten vom Hersteller. Wer so ein Gerät besitzt, soll auf eine Trusted-Platform-Module-Lösung ausweichen. Diese verschlüsselt die Festplatten und macht die Daten für Cyberkriminelle unzugänglich.
Wer mehr zum Thema UEFI-Malware lesen und wissen will, was diese so besonders und gefährlich macht, kann hier ein Interview mit Eset-Experte Thomas Uhlemann zur UEFI-Malware Lojax lesen. "Wenn man infiziert ist, ist es eigentlich schon zu spät."
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.