ESET findet 3 kritische Schwachstellen im UEFI von Lenovo Consumer-Notebooks

[English]Nutzer von Lenovo-Notebooks sollten reagieren. Sicherheitsanbieter ESET hat gerade bekannt gegeben, dass man drei als sicherheitstechnisch hoch problematisch bewertete Schwachstellen (CVE-2021-3970, CVE-2021-3971, CVE-2021-3972) im UEFI von Lenovo Consumer-Notebooks entdeckt habe. Die Ausnutzung ermöglicht es Angreifern, UEFI-Malware wie LoJax oder ESPecter auf den betroffenen Geräten einzusetzen und erfolgreich auszuführen.

Ich bin über nachfolgende Tweets von ESET auf das Thema aufmerksam geworden – die Details hat ESET in diesem Blog-Beitrag veröffentlicht. Die Schwachstellen betreffen verschiedene Lenovo-Notebook-Modelle.

Lenovo UEFI vulnerabilities

Die Schwachstellen CVE-2021-3971, CVE-2021-3972

Die ersten beiden dieser Schwachstellen – CVE-2021-3971, CVE-2021-3972 – betreffen UEFI-Firmware-Treiber, die ursprünglich nur während der Fertigung Lenovo Consumer-Notebooks verwendet werden sollten. Leider wurden sie versehentlich auch in die Produktions-BIOS-Images aufgenommen, ohne dass sie ordnungsgemäß deaktiviert wurden.

Die betroffenen Firmware-Treiber können von Angreifern aktiviert werden, um die SPI-Flash-Schutzfunktionen (BIOS-Steuerregister-Bits und Protected-Range-Register) oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess aus während der Laufzeit des Betriebssystems direkt zu deaktivieren. Die Ausnutzung dieser Schwachstellen ermöglicht Angreifern SPI-Flash- oder ESP-Implantate wie LoJax oder die neueste UEFI-Malware-Entdeckung ESPecter auf den betroffenen Geräten einzusetzen und erfolgreich auszuführen.

Die Schwachstelle CVE-2021-3970

Bei der Untersuchung der obigen Schwachstellen in den anfälligen Treibern wurde eine dritte Schwachstelle entdeckt. Diese betrifft eine  SMM-Speicherbeschädigung innerhalb der SW SMI-Handler-Funktion (CVE-2021-3970). Diese Schwachstelle ermöglicht willkürliches Lesen/Schreiben von/auf SMRAM, was zur Ausführung von bösartigem Code mit SMM-Privilegien und möglicherweise zum Einsatz eines SPI-Flash-Implantats führen kann.

Lenovo ist informiert

Alle entdeckten Schwachstellen wurden am 11. Oktober 2021 an Lenovo gemeldet. Lenovo bestätigte die Schwachstellen am 17. November 2021 und wies die genannten CVEs zu. Insgesamt umfasst die Liste der betroffenen Geräte mehr als einhundert verschiedene Consumer-Laptop-Modelle mit Millionen von Nutzern weltweit, von erschwinglichen Modellen wie dem Ideapad-3 bis hin zu fortschrittlicheren Modellen wie dem Legion 5 Pro-16ACH6 H oder dem Yoga Slim 9-14ITL05. Die vollständige Liste der betroffenen Modelle mit aktiver Entwicklungsunterstützung ist im Lenovo Advisory veröffentlicht. Lenovo-Systeme, gefertigt ab dem 25. Februar 2022, sollen nicht mehr betroffen sein.

Zusätzlich zu den im Advisory aufgelisteten Modellen sind auch einige andere Geräte betroffen, die ESET an Lenovo gemeldet habt. Die Geräte haben aber das Supportende in der Entwicklung (EODS) erreicht und die Schwachstellen werden nicht mehr behoben. Dazu gehören Geräte wie das Ideapad 330-15IGM und das Ideapad 110-15IGR. Die Liste der EODS-Geräte, die ESET-Forscher identifizieren konnten, wird in ESETs Repository für Schwachstellenmeldungen verfügbar sein.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu ESET findet 3 kritische Schwachstellen im UEFI von Lenovo Consumer-Notebooks

  1. masterX244 sagt:

    Error: In der Überschrift ist ein Tippo: UREFI statt UEFI

  2. Cestmoi sagt:

    Betr. „UEFI-Malware wie LoJax“:

    Immer noch aktuelle Warnung aus Mitte der 2010er Jahre, unter Auslassung von Feinheiten:

    Wer sowas (LoJax) auf dem Rechner hat, kann es a) mit dem Virenscanner nicht erkennen, b) mit selbigem oder anderen Mitteln nicht mehr entfernen und c) ausserhalb der Garantie-/Gewährleistungszeit sein Gerät in den Mülleimer werfen.

    Wie schwer bis unmöglich es sein kann, bei einem zerschossenen UEFI-BIOS noch etwas zu retten, zeigt bspw. (1) – und dort ging es noch nicht einmal um Schäden nach/durch Malware.

    (1)
    BIOS-Option macht ThinkPads zu Briefbeschwerern
    aus 2018
    https://www.heise.de/newsticker/meldung/BIOS-Option-macht-ThinkPads-zu-Briefbeschwerern-4205185.html

  3. Jens sagt:

    Toll, die Seite mit dem Lenovo Advisory schafft es nicht mal, einfachen statischen Text ohne JavaScript darzustellen :-(

    Aber immerhin ist mein Carbon X1 Gen1 nicht betroffen :-)
    Hab da grad meine Windows7-Erstinstallation nach UEFI gewandelt und parallel Windows 10 und Ubuntu-Mate installiert …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert