Digital Eliteboard - Das große Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Hardware & Software Lenovo Notebooks angreifbar: UEFI-Treiber öffnet Malware die Tür

Egal ob ThinkBook, IdeaPad oder Yoga - viele Lenovo-Notebooks erlauben durch fehlerhafte Treiber die Installation einer hartnäckigen Malware.
ESET-Sicherheitsforscher haben Schwachstellen in zahlreichen Lenovo-Notebooks aufgedeckt, durch die Angreifer eine Malware einschleusen können, die selbst eine Neuinstallation des Betriebssystems übersteht. Entstanden ist die Lücke durch eine Unachtsamkeit bei der Auslieferung eines Treibers. Doch nicht jedes betroffene Gerät erhält ein Update.

UEFI Secure Boot auf zahlreichen Lenovo-Notebooks angreifbar​

Der Notebookhersteller Lenovo hat zwei hochgradig gefährliche Sicherheitslücken geschlossen, die Hackern einen Angriffspunkt bieten, um UEFI Secure Boot auf zahlreichen Notebook-Modellen der Serien ThinkBook, IdeaPad und Yoga zu umgehen.

Dadurch ist es den Angreifern möglich, wichtige Sicherheitsmechanismen, die beim Start des Betriebssystems greifen, auszuhebeln. Microsoft kennt dieses Problembereits sehr gut. Denn UEFI Secure Boot soll eigentlich sicherstellen, dass sich während des Bootvorgangs kein schadhafter Code laden und ausführen lässt.

Infolgedessen können die böswilligen Akteure Malware in das System einschleusen, die selbst eine Neuinstallation des Betriebssystems übersteht. Je nachdem, um welche Schadsoftware es sich handelt, ist daraufhin auch ein unbemerkter Fernzugriff auf die infizierten Lenovo-Notebooks möglich.

NVRAM ist kein vertrauenswürdiger Speicher​

Entstanden ist das Problem laut
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
dadurch, dass Entwickler von Lenovo versehentlich einen frühen Entwicklungstreiber an die betroffenen Notebooks ausgeliefert haben. Somit hat der unfertige Treiber seinen Weg in zahlreiche Geräte gefunden und die Tür für potenzielle Angriffe geöffnet.

Aufgedeckt wurde das Problem durch Sicherheitsforscher von ESET, die die Hintergründe in einem Thread auf Twitter genauer erläutert haben.
ESET research
Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Du musst dich Anmelden oder Registrieren um diesen link zusehen!
discovered and reported to the manufacturer 3 vulnerabilities in the
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
firmware of several Lenovo Notebooks. The vulnerabilities allow disabling UEFI Secure Boot or restoring factory default Secure Boot databases (incl. dbx): all simply from an OS.
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
1/9


Du musst dich Anmelden oder Registrieren um diesen link zusehen!
Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Wie die ESET-Forscher berichten, sollten die betroffenen Treiber “nur während des Herstellungsprozesses verwendet werden, wurden aber fälschlicherweise in die Produktion aufgenommen.

Diesbezüglich angreifbar sind Lenovo-Notebooks durch einen Eingriff in spezielle NVRAM-Variablen. Diesen
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
stufen UEFI-Firmware-Entwickler offenbar häufig als vertrauenswürdig ein. Doch das scheint laut der warnenden Worte aus einem Tweet von Nikolaj Schlej ein Trugschluss zu sein.
Nikolaj Schlej
Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Dear UEFI devs, when writing security-sensitive components, would you please stop using common NVRAM as trusted storage? No, not setting RT flag is not enough. No, not setting NV flag is not enough. No, hook-based filtering is not enough.


Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Lenovo stellt Updates bereit, aber nicht für alle Notebooks​

Lenovo hat die Schwachstellen CVE-2022-3430 und CVE-2022-3431 für die betroffenen Notebooks bereits behoben. Damit liegt es nun am Anwender, die jeweiligen Updates zu installieren. Eine Liste der angreifbaren Geräte mit den jeweils erforderlichen BIOS-Versionen findet sich im
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
des Herstellers.

Für die Sicherheitslücke CVE-2022-3432 hingegen, die nur das Ideapad Y700-14ISK betrifft, soll es kein Update mehr geben, da das Gerät bereits das Ende seiner Lebensdauer (EOL) erreicht hat.

Tarnkappe.info
 
Oben