Quelle: Lenovo

Update: Drei gefährliche Sicherheitslücken in Notebooks von Lenovo entdeckt

Sicherheitsforscher haben in der Firmware von Lenovo-Notebooks gleich drei kritische Schwachstellen gefunden, die es Angreifern ermöglichen, Schadcode auf den Geräten auszuführen. Besitzer eines betroffenen Gerätes sollten deshalb schnellstmöglich dessen Firmware aktualisieren.

19. April 2022

In einer ganzen Reihe von Laptop-Modellen von Lenovo klaffen drei schwerwiegende Sicherheitslücken. Wie die Sicherheitsforscher von Eset in einem Blog-Beitrag schreiben, betreffen die ersten beiden Schwachstellen mit den Identifikationsnummern CVE-2021-3971 und CVE-2021-3972 die UEFI-Firmware-Treiber der Notebooks. Pikantes Detail: Die beiden Backdoors wurden offenbar von Lenovo selbst angelegt und sollten ursprünglich nur während des Fertigungsprozesses der Geräte zugänglich sein. Sie können von Angreifern genutzt werden, um den SPI-Flash-Schutz abzuschalten oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess während der Laufzeit des Betriebssystems direkt deaktivieren zu lassen, wie die Sicherheitsforscher weiter schreiben. Dadurch könnten Angreifer UEFI-Malware wie etwa ESPecter oder das Rootkit Lojax auf den Geräten einschleusen. Die dritte Sicherheitslücke mit der Bezeichnung CVE-2021-3970 betrifft eine SMM-Speicherbeschädigung innerhalb der SW SMI-Handler-Funktion. Diese Schwachstelle ermöglicht Angreifern beliebiges Schreiben oder Lesen von und auf SMRAM. Damit könnten sie bösartigen Code mit SMM-Privilegien ausführen, so die Sicherheitsexperten.

Die drei Schwachstellen wurden bereits am 11. Oktober 2021 an Lenovo gemeldet. Davon betroffen sind laut Eset mehr als hundert verschiedene Laptop-Modelle des Herstellers, angefangen beim Ideapad-3 über das Legion 5 Pro-16ACH6 H bis hin zum Yoga Slim 9-14ITL05. Eine komplette Liste der betroffenen Geräte findet sich auf der Supportseite von Lenovo. Besitzer eines solchen Gerätes sollten schnellstmöglich die Firmware aktualisieren, um nicht Gefahr zu laufen, Opfer eines Hackerangriffs zu werden.

Update: Lenovo hat bezüglich der Warnung von Eset folgendes Statement veröffentlicht: "Lenovo dankt Eset dafür, dass es auf ein Problem bei Treibern aufmerksam gemacht hat, die bei einigen Consumer-Notebooks zum Einsatz kommen. Die Treiber wurden repariert, und Kunden, die das Update wie in der Lenovo-Anleitung beschrieben durchführen, sind geschützt. Lenovo begrüßt die Zusammenarbeit mit BIOS-Forschern, da wir unsere Investitionen in die BIOS-Sicherheit erhöhen, um sicherzustellen, dass unsere Produkte weiterhin die Industriestandards erfüllen oder übertreffen." (luc)

Artikel kommentieren