[English]Nutzer von Lenovo-Notebooks sollten reagieren. Sicherheitsanbieter ESET hat gerade bekannt gegeben, dass man drei als sicherheitstechnisch hoch problematisch bewertete Schwachstellen (CVE-2021-3970, CVE-2021-3971, CVE-2021-3972) im UEFI von Lenovo Consumer-Notebooks entdeckt habe. Die Ausnutzung ermöglicht es Angreifern, UEFI-Malware wie LoJax oder ESPecter auf den betroffenen Geräten einzusetzen und erfolgreich auszuführen.
Ich bin über nachfolgende Tweets von ESET auf das Thema aufmerksam geworden – die Details hat ESET in diesem Blog-Beitrag veröffentlicht. Die Schwachstellen betreffen verschiedene Lenovo-Notebook-Modelle.
Die Schwachstellen CVE-2021-3971, CVE-2021-3972
Die ersten beiden dieser Schwachstellen – CVE-2021-3971, CVE-2021-3972 – betreffen UEFI-Firmware-Treiber, die ursprünglich nur während der Fertigung Lenovo Consumer-Notebooks verwendet werden sollten. Leider wurden sie versehentlich auch in die Produktions-BIOS-Images aufgenommen, ohne dass sie ordnungsgemäß deaktiviert wurden.
Die betroffenen Firmware-Treiber können von Angreifern aktiviert werden, um die SPI-Flash-Schutzfunktionen (BIOS-Steuerregister-Bits und Protected-Range-Register) oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess aus während der Laufzeit des Betriebssystems direkt zu deaktivieren. Die Ausnutzung dieser Schwachstellen ermöglicht Angreifern SPI-Flash- oder ESP-Implantate wie LoJax oder die neueste UEFI-Malware-Entdeckung ESPecter auf den betroffenen Geräten einzusetzen und erfolgreich auszuführen.
Die Schwachstelle CVE-2021-3970
Bei der Untersuchung der obigen Schwachstellen in den anfälligen Treibern wurde eine dritte Schwachstelle entdeckt. Diese betrifft eine SMM-Speicherbeschädigung innerhalb der SW SMI-Handler-Funktion (CVE-2021-3970). Diese Schwachstelle ermöglicht willkürliches Lesen/Schreiben von/auf SMRAM, was zur Ausführung von bösartigem Code mit SMM-Privilegien und möglicherweise zum Einsatz eines SPI-Flash-Implantats führen kann.
Lenovo ist informiert
Alle entdeckten Schwachstellen wurden am 11. Oktober 2021 an Lenovo gemeldet. Lenovo bestätigte die Schwachstellen am 17. November 2021 und wies die genannten CVEs zu. Insgesamt umfasst die Liste der betroffenen Geräte mehr als einhundert verschiedene Consumer-Laptop-Modelle mit Millionen von Nutzern weltweit, von erschwinglichen Modellen wie dem Ideapad-3 bis hin zu fortschrittlicheren Modellen wie dem Legion 5 Pro-16ACH6 H oder dem Yoga Slim 9-14ITL05. Die vollständige Liste der betroffenen Modelle mit aktiver Entwicklungsunterstützung ist im Lenovo Advisory veröffentlicht. Lenovo-Systeme, gefertigt ab dem 25. Februar 2022, sollen nicht mehr betroffen sein.
Zusätzlich zu den im Advisory aufgelisteten Modellen sind auch einige andere Geräte betroffen, die ESET an Lenovo gemeldet habt. Die Geräte haben aber das Supportende in der Entwicklung (EODS) erreicht und die Schwachstellen werden nicht mehr behoben. Dazu gehören Geräte wie das Ideapad 330-15IGM und das Ideapad 110-15IGR. Die Liste der EODS-Geräte, die ESET-Forscher identifizieren konnten, wird in ESETs Repository für Schwachstellenmeldungen verfügbar sein.
Error: In der Überschrift ist ein Tippo: UREFI statt UEFI
Habe es schon gesehen und korrigiert ;-) Trotzdem danke.
Betr. „UEFI-Malware wie LoJax“:
Immer noch aktuelle Warnung aus Mitte der 2010er Jahre, unter Auslassung von Feinheiten:
Wer sowas (LoJax) auf dem Rechner hat, kann es a) mit dem Virenscanner nicht erkennen, b) mit selbigem oder anderen Mitteln nicht mehr entfernen und c) ausserhalb der Garantie-/Gewährleistungszeit sein Gerät in den Mülleimer werfen.
Wie schwer bis unmöglich es sein kann, bei einem zerschossenen UEFI-BIOS noch etwas zu retten, zeigt bspw. (1) – und dort ging es noch nicht einmal um Schäden nach/durch Malware.
(1)
BIOS-Option macht ThinkPads zu Briefbeschwerern
aus 2018
https://www.heise.de/newsticker/meldung/BIOS-Option-macht-ThinkPads-zu-Briefbeschwerern-4205185.html
Toll, die Seite mit dem Lenovo Advisory schafft es nicht mal, einfachen statischen Text ohne JavaScript darzustellen :-(
Aber immerhin ist mein Carbon X1 Gen1 nicht betroffen :-)
Hab da grad meine Windows7-Erstinstallation nach UEFI gewandelt und parallel Windows 10 und Ubuntu-Mate installiert …