UEFI-Schwachstellen in Lenovo-Rechnern

Lesezeit
1 Minute
Bis jetzt gelesen

UEFI-Schwachstellen in Lenovo-Rechnern

19.04.2022 - 08:00
Veröffentlicht in:
Lenovo-Nutzer sollten schnellstmöglich die Firmware ihrer Geräte auf den neuesten Stand bringen – so die dringende Empfehlung von ESET. Forscher des Unternehmens entdeckten drei gefährliche Schwachstellen auf den Geräten, die Angreifern Tür und Tor auf den Laptops öffnen. So könnte über die Sicherheitslecks beispielweise UEFI-Malware wie Lojax oder ESPecter eingeschleust werden.
Das Unified Extensible Firmware Interface (UEFI) ist die Firmware des Mainboards und für Cyberkriminelle deswegen so wertvoll, weil sie darüber Hardwareinformationen im laufenden Betrieb auslesen und manipulieren können. Da UEFI noch vor dem Betriebssystem gestartet wird, ist es möglich, hier resistente Malware zu implementieren. Insgesamt umfasst die Gefährdungsliste mehr als 100 verschiedene Modelle des Herstellers Lenovo. Ihre Analyse haben die Forscher nun auf WeLiveSecurity [1] veröffentlicht.

Updates umgehend installieren oder TPM einsetzen
Die ESET Forscher raten allen Besitzern von Lenovo-Laptops, sich die Liste der betroffenen Geräte anzuschauen und ihre Firmware nach den Anweisungen des Herstellers zu aktualisieren. Sollten Geräte keine Hersteller-Updates mehr erhalten und von der UEFI SecureBootBackdoor (CVE-2021-3970) betroffen sein, empfehlen die Experten, eine Trusted Platform Module-Lösung zur vollständigen Festplattenverschlüsselung zu verwenden. So sind die Festplattendaten unzugänglich, wenn die UEFI Secure Boot-Konfiguration geändert wird.

"UEFI-Malware kann lange unbemerkt bleiben und stellt ein immenses Bedrohungspotential dar. Die Schadprogramme werden früh im Boot-Prozess ausgeführt, bevor das Betriebssystem startet. Das bedeutet, dass sie fast alle Sicherheitsmaßnahmen und Begrenzungen auf höheren Ebenen gegen Schadcode umgehen", sagt ESET-Forscher Martin Smolár, der die Schwachstellen entdeckt hat.

"Unsere Entdeckung dieser UEFI-Hintertüren zeigt, dass der Einsatz von diesen speziellen Bedrohungen in einigen Fällen nicht so schwierig ist wie erwartet. Die größere Anzahl von UEFI-Gefahren, die in den letzten Jahren gefunden wurden, deutet darauf hin, dass sich die Angreifer dessen bewusst sind", fügt er hinzu. "Alle UEFI-Bedrohungen, die in den letzten Jahren entdeckt wurden, wie LoJax, MasaicRegressor, MoonBounce, ESPecter oder Finspy, mussten die Sicherheitsmechanismen auf irgendeine Weise umgehen oder deaktivieren."

"Sichere" Backdoor deaktiviert Secure-Boot-Funktion
Die ersten beiden dieser Schwachstellen (CVE-2021-3970, CVE-2021-3971) werden als "sichere", in die UEFI-Firmware eingebaute, Hintertüren bezeichnet. Der Grund für diese Bezeichnung sind die Namen, die den UEFI-Treibern von Lenovo gegeben wurden, die eine dieser Schwachstellen (CVE-2021-3971) implementieren: SecureBackDoor und SecureBackDoorPeim. Diese eingebauten Hintertüren können aktiviert werden, um den SPI-Flash-Schutz (BIOS-Kontrollregister-Bits und Protection-Range-Register) oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess während des laufenden Betriebssystems zu deaktivieren.

Darüber hinaus hat die Untersuchung der Binärdateien der „sicheren“ Backdoors eine dritte Schwachstelle zum Vorschein gebracht (CVE-2021-3972). Diese ermöglicht willkürliche Lese-/Schreibzugriffe von/auf System Management RAM (kurz: SMRAM), was zur Ausführung von bösartigem Code mit höheren Privilegien führen kann.

dr

[1] https://www.welivesecurity.com/deutsch/2022/04/19/verwundbare-uefi-backdoors-in-lenovo-laptops-entdeckt

Tags

Ähnliche Beiträge

Exchange ungeschützt im Visier Lars Nitsch Di., 26.03.2024 - 13:09
Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik hervor.
Mehr Transparenz bei Benutzeraktivitäten Lars Nitsch Mo., 25.03.2024 - 09:41
BeyondTrust hat Version 24.1 von "Endpoint Privilege Management für Windows & Mac" veröffentlicht. Die Enterprise-Software zur Durchsetzung von Least-Privilege-Strategien und granularer Applikationskontrolle soll im aktuellen Release mit neuen Funktionen für höhere Benutzerfreundlichkeit und optimierte Arbeitsabläufe sorgen.
Keeper Security mit Updates für mehr administrative Kontrolle Lars Nitsch Fr., 22.03.2024 - 08:51
Keeper Security, Anbieter von Zero-Trust- und Zero-Knowledge-Software zum Schutz von Anmeldedaten, privilegiertem Zugang und Remote-Verbindungen hat die Benutzeroberfläche seiner Admin-Konsole optimiert und das Onboarding überarbeitet. Die Updates stellen eine direkte Reaktion auf die Rückmeldungen der Benutzer-Community dar.