Millionen von Lenovo-Nutzern sollten schnellstmöglich die Firmware ihrer Geräte auf den neuesten Stand bringen – so die dringende Empfehlung des europäischen IT-Sicherheitsherstellers ESET. Forscher des Unternehmens entdeckten gleich drei gefährliche Schwachstellen auf den Geräten, die Angreifern Tür und Tor auf den Laptops öffnen.


Gefährliche Malware auf Notebooks

So könnten beispielweise über die Sicherheitslecks brandgefährliche UEFI-Malware, wie Lojax oder ESPecter eingeschleust werden. Das Unified Extensible Firmware Interface (UEFI) ist die Firmware des Mainboards und für Cyberkriminelle deswegen so wertvoll, weil sie darüber Hardwareinformationen im laufenden Betrieb auslesen und manipulieren können. Da UEFI noch vor dem Betriebssystem gestartet wird, ist es möglich, hier resistente Malware zu implementieren. Insgesamt umfasst die Gefährdungsliste mehr als 100 verschiedene Modelle des Herstellers Lenovo. Ihre Analyse haben die Forscher nun auf WeLiveSecurity veröffentlicht.

Updates umgehend installieren oder TPM-Lösung einsetzen

Die ESET Forscher raten allen Besitzern von Lenovo-Laptops, sich die Liste der betroffenen Geräte anzuschauen und ihre Firmware nach den Anweisungen des Herstellers zu aktualisieren. Sollten Geräte keine Hersteller-Updates mehr erhalten und von der UEFI SecureBootBackdoor (CVE-2021-3972) betroffen sein, empfehlen die Experten, eine Trusted Platform Module-Lösung zur vollständigen Festplattenverschlüsselung zu verwenden. So sind die Festplattendaten unzugänglich, wenn die UEFI Secure Boot-Konfiguration geändert wird.

„UEFI-Malware kann lange unbemerkt bleiben und stellt ein immenses Bedrohungspotential dar. Die Schadprogramme werden früh im Boot-Prozess ausgeführt, bevor das Betriebssystem startet. Das bedeutet, dass sie fast alle Sicherheitsmaßnahmen und Begrenzungen auf höheren Ebenen gegen Schadcode umgehen“, sagt ESET-Forscher Martin Smolár, der die Schwachstellen entdeckt hat. „Unsere Entdeckung dieser UEFI-Hintertüren zeigt, dass der Einsatz von diesen speziellen Bedrohungen in einigen Fällen nicht so schwierig ist wie erwartet. Die größere Anzahl von UEFI-Gefahren, die in den letzten Jahren gefunden wurden, deutet darauf hin, dass sich die Angreifer dessen bewusst sind“, fügt er hinzu. „Alle UEFI-Bedrohungen, die in den letzten Jahren entdeckt wurden, wie LoJax, MasaicRegressor, MoonBounce, ESPecter oder Finspy, mussten die Sicherheitsmechanismen auf irgendeine Weise umgehen oder deaktivieren.“


„Sichere“ Backdoors deaktiviert UEFI-Secure-Boot-Funktion

Die ersten beiden dieser Schwachstellen (CVE-2021-3972, CVE-2021-3971) werden als „sichere“, in die UEFI-Firmware eingebaute, Hintertüren bezeichnet. Der Grund für diese Bezeichnung sind die Namen, die den UEFI-Treibern von Lenovo gegeben wurden, die eine dieser Schwachstellen (CVE-2021-3971) implementieren: SecureBackDoor und SecureBackDoorPeim. Diese eingebauten Hintertüren können aktiviert werden, um den SPI-Flash-Schutz (BIOS-Kontrollregister-Bits und Protection-Range-Register) oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess während des laufenden Betriebssystems zu deaktivieren.

Darüber hinaus hat die Untersuchung der Binärdateien der „sicheren“ Backdoors eine dritte Schwachstelle zum Vorschein gebracht (CVE-2021-3970). Diese ermöglicht willkürliche Lese-/Schreibzugriffe von/auf System Management RAM (kurz: SMRAM), was zur Ausführung von bösartigem Code mit höheren Privilegien führen kann.

Was ist UEFI?

Das Unified Extensible Firmware Interface (UEFI) ist der Begriff für die Firmware des Mainboards und somit ein wichtiger Teil der Schnittstelle zwischen Hard- und Software eines Computers, insbesondere beim Hochfahren. UEFI löste den Vorgänger BIOS (Basic Input/Output System) ab und kann mit moderner Hardware besser kommunizieren. Zu den großen Vorteilen zählen zum einen die deutlich schnellere Geschwindigkeit beim Booten des Systems, zum anderen die Unterstützung von Festplatten mit größeren Kapazitäten.