Treiber-Schwachstelle

Sicherheitslücke gefährdet 25 Lenovo-Laptops

Sicherheitsforscher warnen vor einem Sicherheitsrisiko, das mehr als zwei Dutzend Lenovo-Laptop-Modelle betrifft. Hacker könnten die Schwachstelle ausnutzen und bösartige Firmware installieren.
Von 
CSO | 10. November 2022 14:58 Uhr
Nutzer von Lenovo-Laptops aufgepasst: Eine Schwachstelle in der UEFI-Firmware gefährdet aktuell die Sicherheit mehrerer Geräte. Die betroffenen Modelle sollten so schnell wie möglich gepatcht werden.
Nutzer von Lenovo-Laptops aufgepasst: Eine Schwachstelle in der UEFI-Firmware gefährdet aktuell die Sicherheit mehrerer Geräte. Die betroffenen Modelle sollten so schnell wie möglich gepatcht werden.
Foto: JL IMAGES - shutterstock.com

Das Forscherteam des Sicherheitsanbieters ESET entdeckte kürzlich drei Sicherheitslücken in der UEFI-Firmware mehrerer Lenovo-Laptops. Demnach sind mehr als zwei Dutzende Lenovo-Notebook-Modelle anfällig für Angriffe. Hacker könnten den ansonsten - sicheren UEFI-Boot Prozess deaktivieren und dann unsignierte UEFI-Apps ausführen, warnen die Forscher. Außerdem wären die Angreifer in der Lage. einen Bootloader zu installieren und sich dadurch eine dauerhafte Hintertür zu verschaffen. Um die Lücke zu schließen, hat Lenovo bereits Sicherheitsupdates für die 25 Modelle veröffentlicht, darunter ThinkPads, Yoga Slims und IdeaPads.

Angreifer können bösartige Firmware installieren, die Neustarts überlebt

UEFI steht für Unified Extensible Firmware Interface. Dabei handelt es sich um die Software, die - wie der Vorgänger BIOS - die Firmware eines Computers mit seinem Betriebssystem verbindet. Die Funktion Secure Boot stellt dabei sicher, dass ein PC nur über Software gestartet werden kann, die der Hersteller als vertrauenswürdig eingestuft hat. Gibt es Schwachstellen im UEFI Secure Boot , können Angreifer bösartige Firmware installieren, die mehrere Neuinstallationen des Betriebssystems überlebt.

Da sich UEFI in einem Flash-Chip auf dem Motherboard befindet, ist es schwierig, die Infektion zu erkennen und zu entfernen. So haben Aktionen wie das Löschen der Festplatte und die Neuinstallation des Betriebssystems keine nennenswerten Auswirkungen, da die UEFI-Infektion den Computer dann erneut infiziert.

Tipp: Sie möchten regelmäßig über alles wichtige rund um IT-Sicherheit informiert werden? Dann abonnieren Sie doch einfach unseren kostenlosen Newsletter.

Die drei Schwachstellen - verfolgt als CVE-2022-3430, CVE-2022-3431 und CVE-2022-3432 - ermöglichen "das Deaktivieren von UEFI Secure Boot oder das Wiederherstellen von werkseitigen Standard-Secure-Boot-Datenbanken (einschließlich dbx). Alles einfach von einem Betriebssystem aus", so die ESET-Forscher. Secure Boot verwendet Datenbanken, um Mechanismen zuzulassen und abzulehnen. Insbesondere eine DBX-Datenbank speichert kryptografische Hashes zurückgewiesener Schlüssel. Durch das Deaktivieren oder Wiederherstellen von Standardwerten in Datenbanken gelingt es Angreifern, Einschränkungen zu entfernen, die normalerweise wirksam wären.

Die drei Schwachstellen

Laut ESET wurden die Schwachstellen nicht durch Fehler im Code verursacht, vielmehr hat Lenovo die Geräte mit Treibern ausgeliefert, "die nur während des Herstellungsprozesses verwendet sollten", erklären die Forscher. Lenovo gibt folgenden Informationen zu den drei Schwachstellen an:

  • CVE-2022-3430: Eine potenzielle Schwachstelle im WMI-Setup-Treiber auf einigen Lenovo Notebook-Endverbrauchergeräten kann es einem Angreifer mit erhöhten Rechten ermöglichen, sichere Starteinstellungen durch Ändern einer NVRAM-Variable zu ändern.

  • CVE-2022-3431: Eine potenzielle Schwachstelle in einem Treiber, der während des Herstellungsprozesses auf einigen Lenovo-Notebooks für Endverbraucher verwendet wurde und versehentlich nicht deaktiviert wurde, kann es einem Angreifer mit erhöhten Rechten ermöglichen, die Einstellung für den sicheren Start durch Ändern einer NVRAM-Variable zu ändern.

  • CVE-2022-3432: Eine potenzielle Schwachstelle in einem Treiber, der während des Herstellungsprozesses auf dem Ideapad Y700-14ISK verwendet wurde und fälschlicherweise nicht deaktiviert wurde, kann es einem Angreifer mit erhöhten Rechten ermöglichen, die sichere Boot-Einstellung durch Anpassen einer NVRAM-Variable zu ändern.

Lenovo patcht jedoch nur die ersten beiden CVEs. "Für CVE-2022-3432 hat das Ideapad Y700-14ISK das Ende des Entwicklungs-Supports erreicht und es werden keine Fixes veröffentlicht", so der Hersteller.

Lesetipp: Aktuelle Sicherheitslücken - Diese Schwachstellen sollten Sie sofort patchen

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.