Egal ob ThinkBook, IdeaPad oder Yoga - viele Lenovo-Notebooks erlauben durch fehlerhafte Treiber die Installation einer hartnäckigen Malware.
ESET-Sicherheitsforscher haben Schwachstellen in zahlreichen Lenovo-Notebooks aufgedeckt, durch die Angreifer eine Malware einschleusen können, die selbst eine Neuinstallation des Betriebssystems übersteht. Entstanden ist die Lücke durch eine Unachtsamkeit bei der Auslieferung eines Treibers. Doch nicht jedes betroffene Gerät erhält ein Update.
Dadurch ist es den Angreifern möglich, wichtige Sicherheitsmechanismen, die beim Start des Betriebssystems greifen, auszuhebeln. Microsoft kennt dieses Problembereits sehr gut. Denn UEFI Secure Boot soll eigentlich sicherstellen, dass sich während des Bootvorgangs kein schadhafter Code laden und ausführen lässt.
Infolgedessen können die böswilligen Akteure Malware in das System einschleusen, die selbst eine Neuinstallation des Betriebssystems übersteht. Je nachdem, um welche Schadsoftware es sich handelt, ist daraufhin auch ein unbemerkter Fernzugriff auf die infizierten Lenovo-Notebooks möglich.
Aufgedeckt wurde das Problem durch Sicherheitsforscher von ESET, die die Hintergründe in einem Thread auf Twitter genauer erläutert haben.
ESET research@ESETresearch
#ESETResearch discovered and reported to the manufacturer 3 vulnerabilities in the #UEFI firmware of several Lenovo Notebooks. The vulnerabilities allow disabling UEFI Secure Boot or restoring factory default Secure Boot databases (incl. dbx): all simply from an OS. @smolar_m 1/9
9.11.2022, 09:47:00 via Twitter powered by
Wie die ESET-Forscher berichten, sollten die betroffenen Treiber “nur während des Herstellungsprozesses verwendet werden, wurden aber fälschlicherweise in die Produktion aufgenommen.“
Diesbezüglich angreifbar sind Lenovo-Notebooks durch einen Eingriff in spezielle NVRAM-Variablen. Diesen nichtflüchtigen Speicher stufen UEFI-Firmware-Entwickler offenbar häufig als vertrauenswürdig ein. Doch das scheint laut der warnenden Worte aus einem Tweet von Nikolaj Schlej ein Trugschluss zu sein.
Nikolaj Schlej@NikolajSchlej
Dear UEFI devs, when writing security-sensitive components, would you please stop using common NVRAM as trusted storage? No, not setting RT flag is not enough. No, not setting NV flag is not enough. No, hook-based filtering is not enough.
23.10.2022, 19:29:21 via Twitter
Für die Sicherheitslücke CVE-2022-3432 hingegen, die nur das Ideapad Y700-14ISK betrifft, soll es kein Update mehr geben, da das Gerät bereits das Ende seiner Lebensdauer (EOL) erreicht hat.
Tarnkappe.info
ESET-Sicherheitsforscher haben Schwachstellen in zahlreichen Lenovo-Notebooks aufgedeckt, durch die Angreifer eine Malware einschleusen können, die selbst eine Neuinstallation des Betriebssystems übersteht. Entstanden ist die Lücke durch eine Unachtsamkeit bei der Auslieferung eines Treibers. Doch nicht jedes betroffene Gerät erhält ein Update.
UEFI Secure Boot auf zahlreichen Lenovo-Notebooks angreifbar
Der Notebookhersteller Lenovo hat zwei hochgradig gefährliche Sicherheitslücken geschlossen, die Hackern einen Angriffspunkt bieten, um UEFI Secure Boot auf zahlreichen Notebook-Modellen der Serien ThinkBook, IdeaPad und Yoga zu umgehen.Dadurch ist es den Angreifern möglich, wichtige Sicherheitsmechanismen, die beim Start des Betriebssystems greifen, auszuhebeln. Microsoft kennt dieses Problembereits sehr gut. Denn UEFI Secure Boot soll eigentlich sicherstellen, dass sich während des Bootvorgangs kein schadhafter Code laden und ausführen lässt.
Infolgedessen können die böswilligen Akteure Malware in das System einschleusen, die selbst eine Neuinstallation des Betriebssystems übersteht. Je nachdem, um welche Schadsoftware es sich handelt, ist daraufhin auch ein unbemerkter Fernzugriff auf die infizierten Lenovo-Notebooks möglich.
NVRAM ist kein vertrauenswürdiger Speicher
Entstanden ist das Problem laut BleepingComputer dadurch, dass Entwickler von Lenovo versehentlich einen frühen Entwicklungstreiber an die betroffenen Notebooks ausgeliefert haben. Somit hat der unfertige Treiber seinen Weg in zahlreiche Geräte gefunden und die Tür für potenzielle Angriffe geöffnet.Aufgedeckt wurde das Problem durch Sicherheitsforscher von ESET, die die Hintergründe in einem Thread auf Twitter genauer erläutert haben.
ESET research@ESETresearch
#ESETResearch discovered and reported to the manufacturer 3 vulnerabilities in the #UEFI firmware of several Lenovo Notebooks. The vulnerabilities allow disabling UEFI Secure Boot or restoring factory default Secure Boot databases (incl. dbx): all simply from an OS. @smolar_m 1/9
9.11.2022, 09:47:00 via Twitter powered by
Wie die ESET-Forscher berichten, sollten die betroffenen Treiber “nur während des Herstellungsprozesses verwendet werden, wurden aber fälschlicherweise in die Produktion aufgenommen.“
Diesbezüglich angreifbar sind Lenovo-Notebooks durch einen Eingriff in spezielle NVRAM-Variablen. Diesen nichtflüchtigen Speicher stufen UEFI-Firmware-Entwickler offenbar häufig als vertrauenswürdig ein. Doch das scheint laut der warnenden Worte aus einem Tweet von Nikolaj Schlej ein Trugschluss zu sein.
Nikolaj Schlej@NikolajSchlej
Dear UEFI devs, when writing security-sensitive components, would you please stop using common NVRAM as trusted storage? No, not setting RT flag is not enough. No, not setting NV flag is not enough. No, hook-based filtering is not enough.
23.10.2022, 19:29:21 via Twitter
Lenovo stellt Updates bereit, aber nicht für alle Notebooks
Lenovo hat die Schwachstellen CVE-2022-3430 und CVE-2022-3431 für die betroffenen Notebooks bereits behoben. Damit liegt es nun am Anwender, die jeweiligen Updates zu installieren. Eine Liste der angreifbaren Geräte mit den jeweils erforderlichen BIOS-Versionen findet sich im Supportbereich des Herstellers.Für die Sicherheitslücke CVE-2022-3432 hingegen, die nur das Ideapad Y700-14ISK betrifft, soll es kein Update mehr geben, da das Gerät bereits das Ende seiner Lebensdauer (EOL) erreicht hat.
Tarnkappe.info