Eset empfiehlt Firmware Update

Gefährliche Sicherheitslücke in Lenovo-Laptops

Nutzen Sie einen Laptop von Lenovo, sollten Sie schnell reagieren. Denn Forscher von Eset haben in 100 Modellen mehrere Schwachstellen gefunden, die Angreifer für Malware ausnutzen können.
Von 
CSO | 20. April 2022 10:14 Uhr
Im Entwicklungsprozess ist Lenovo ein Fehler unterlaufen und Backdoors wurden nicht geschlossen. Nun stehen Hackern die Türen zu privaten Geräten und Daten offen.
Im Entwicklungsprozess ist Lenovo ein Fehler unterlaufen und Backdoors wurden nicht geschlossen. Nun stehen Hackern die Türen zu privaten Geräten und Daten offen.
Foto: Suttipun - shutterstock.com

Millionen Nutzerinnen und Nutzer von Lenovo-Laptops sollten schnellstmöglich ihre Firmware aktualisieren, so die Warnung von Eset. Drei Sicherheitslücken haben Analysten des Security-Anbieters in verschiedenen Lenovo-Rechnern entdeckt. Die Schwachstellen CVE-2021-3971 und CVE-2021-3972 betreffen UEFI-Firmware-Treiber. Den Analysten zufolge stammen die Backdoors von Lenovo selbst. Sie sollten eigentlich nur während des Fertigungsprozesses zugänglich sein.

Durch einen Fehler wurden sie jedoch in die BIOS Images übernommen, die an die Kunden ausgeliefert wurden. Diese betroffenen Firmware-Treiber können von Angreifern dazu missbraucht werden, um den SPI-Flash-Schutz oder die UEFI-Secure-Boot-Funktion während des Starts des Betriebssystems zu deaktivieren. Dann können Angreifer Malware wie LoJax oder ESPecter auf die Geräten laden.

Lenovo ließ die Backdoors offen

"SecureBackDoor" und "SecureBackDoorPeim" hießen Eset zufolge die Backdoors, die Lenovo im Entwicklungsprozess nutzte. So war es für die Sicherheitsexperten leicht, die Firmware-Treiber, die von CVE-2021-3971 betroffen waren, zu finden. Nach einer ersten Analyse fanden die Forscher weitere Lenovo-Treiber, die gemeinsame Merkmale mit den Backdoor-Treibern aufwiesen: "ChgBootDxeHook" und "ChgBootSmm.". Deren Funktionen seien sogar noch interessanter gewesen und können ebenfalls zur Deaktivierung von UEFI Secure Boot missbraucht werden.

Das Unified Extensible Firmware Interface (UEFI) ist die Software, die zwischen Firmware und Betriebssystem vermittelt. Weil Hacker darüber im laufenden Betrieb Hardwareinformationen auslesen und für sich nutzen können, ist das UEFI besonders interessant für sie.

Bei der Untersuchung der Backdoor-Treiber entdeckte Eset die dritte Sicherheitslücke: eine SMM-Speicherbeschädigung (System Management Mode) innerhalb der SW SMI-Handler-Funktion. Diese Schwachstelle ermöglicht es Hackern, bösartigen Code in den Arbeitsspeicher einzuschleusen und dort auszuführen.

Welche Lenovo-Geräte sind betroffen?

Eset hat die Schwachstellen bereits am 11. Oktober 2021 an Lenovo gemeldet. Insgesamt seien 100 verschiedene Laptop-Modelle von Millionen Nutzern betroffen. Eine vollständige Liste der betroffenen Modelle mit aktiver Entwicklungsunterstützung finden Sie im Lenovo Advisory.

Zusätzlich zu den im Advisory aufgeführten Modellen hat Eset weitere Geräte an Lenovo gemeldet. Diese werden jedoch nicht mehr repariert, da sie das Ende des Entwicklungssupports (End of Development Support) erreicht haben. Eine Liste mit den Geräten, die keinen Support mehr erhalten, hat Eset in einem Repository für Schwachstellenmeldungen gesammelt.

Lenovo bestätigte die Schwachstellen am 17. November 2021 und wies ihnen folgende Common Vulnerabilities and Exposures (CVEs) zu:

  • CVE-2021-3970 LenovoVariableSmm – SMM beliebiges Lesen/Schreiben

  • CVE-2021-3971 SecureBackDoor – Deaktivieren des SPI-Flash-Schutzes

  • CVE-2021-3972 ChgBootDxeHook – Deaktivieren von UEFI Secure Boot

Maßnahmen für Lenovo-Kunden

Eset rät Besitzern von Lenovo-Laptops, die Liste der betroffenen Geräte durchzugehen und ihre Firmware zu aktualisieren. Eine Anleitung zum Update der Lenovo-Firmware gibt es hier.

Für Nutzer, die End-of-Development-Support-Geräte verwenden, die von den Schwachstellen betroffen sind und für die es keine Updates gibt, hat Eset einen Tipp: Um sich gegen unerwünschte Änderungen des UEFI-Secure-Boot-Status zu schützen, können Sie eine TPM-fähige Lösung zur vollständigen Festplattenverschlüsselung einsetzen. Diese macht zumindest die Festplattendaten unzugänglich, wenn die UEFI-Secure-Boot-Konfiguration geändert wird.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.