Firmware prüfen empfohlen:
UEFI-Fehler in Millionen Lenovo-Geräten

Es ist ein Problem, das mehr als hundert Laptop-Modelle von Lenovo mit Millionen von Nutzern weltweit betrifft. Im Unified Extensible Firmware Interface (UEFI) wurden drei schwerwiegende Sicherheitslücken entdeckt. Das Unternehmen warnt seit gestern offiziell.

John Woll, 19.04.2022 18:30 Uhr

Sicherheit, Sicherheitslücke, Hacker, Security, Hack, Verschlüsselung, Cybersecurity, Exploit, Kryptographie, schloss, Leiterplatte, Schloss-Symbol, Entschlüsselung, Encryption

Firmware-Update dringend empfohlen, Lenovo liefert Sicherheitshinweis

Das wichtigste zuerst: Im Oktober 2021 hatte das Sicherheitsunternehmen ESET drei Lücken an Lenovo gemeldet, seit gestern hat das Unternehmen einen entsprechenden Sicherheits-Hinweis veröffentlicht, der heute noch einmal ein Update erfahren hat. Das Unternehmen hat folgende Kennzeichnungen zugewiesen:

CVE-2021-3970 LenovoVariableSmm - SMM willkürlich lesen/schreiben
CVE-2021-3971 SecureBackDoor - Deaktivieren des SPI-Flash-Schutzes
CVE-2021-3972 ChgBootDxeHook - Deaktivieren von UEFI Secure Boot

Wie ESET in seinem heutigen Blogpost schreibt, hatte Lenovo ursprünglich den 8. Februar als Datum für eine Bekanntmachung anvisiert, dann aber am 20.01.2022 darum gebeten, die Veröffentlichung seitens der Sicherheitsforscher noch einmal zu verschieben. Lenovo liefert in seiner "Security Advisory: LEN-73440" jetzt eine Liste der betroffenen Geräte, die über 100 Modelle umfasst. Hier ist auch eine Anweisung für den Download entsprechender Updates zu finden.

"Aus Versehen" Laptops gefährdet

Sicherheitsfehler passieren, auch bei bester Prüfung. Zwei der drei schwerwiegenden Lücken, auf die heute der Sicherheitsforscher Martin Smolár von ESET noch einmal explizit hinweist, gehen aber auf einen groben Fehler seitens Lenovo zurück, der so hätte nicht passieren müssen. CVE-2021-3971 und CVE-2021-3972 betreffen demnach UEFI-Firmware-Treiber, "die ursprünglich nur während des Herstellungsprozesses von Lenovo Consumer-Notebooks verwendet werden sollten".

Der Fehler laut Smolár: "Leider wurden sie versehentlich auch in die Produktions-BIOS-Images aufgenommen, ohne dass sie ordnungsgemäß deaktiviert wurden." Während der Untersuchung dieser beiden Sicherheitsfehler waren die Forscher dann auch auf die dritte schwerwiegende Lücke (CVE-2021-3970) gestoßen.

Im Anschluss noch einmal die genaue Beschreibung der Sicherheitsfehler, die Lenovo aktuell bereitstellt:

CVE-2021-3970: Eine potenzielle Schwachstelle in LenovoVariable SMI Handler aufgrund unzureichender Validierung in einigen Lenovo Notebook-Modellen kann einem Angreifer mit lokalem Zugriff und erhöhten Rechten die Ausführung von beliebigem Code ermöglichen.
CVE-2021-3971: Eine potenzielle Schwachstelle durch einen Treiber, der während älterer Herstellungsprozesse auf einigen Lenovo-Notebook-Geräten für Endverbraucher verwendet wurde und fälschlicherweise in das BIOS-Image aufgenommen wurde, könnte es einem Angreifer mit erhöhten Rechten ermöglichen, den Firmware-Schutzbereich zu ändern, indem er eine NVRAM-Variable modifiziert.
CVE-2021-3972: Eine potenzielle Schwachstelle durch einen Treiber, der während des Herstellungsprozesses auf einigen Lenovo-Notebook-Geräten für Endverbraucher verwendet wird und fälschlicherweise nicht deaktiviert wurde, kann es einem Angreifer mit erhöhten Rechten ermöglichen, die Einstellungen für den sicheren Start durch Änderung einer NVRAM-Variable zu modifizieren.

Thema:

Lenovo

Kommentieren9

Hinweis einsenden

Jetzt einen Kommentar schreiben

Alle Kommentare zu dieser News anzeigen

Lenovos Aktienkurs

Videos zu Lenovo-Geräten