Lenovo sagt, dass es zwei große Sicherheitslücken behoben hat, die viele seiner ThinkBook-, IdeaPad- und Yoga-Laptops plagen, und fordert die Benutzer nun auf, das Update so schnell wie möglich anzuwenden.
Aufgrund menschlicher Fehler bedeuten die Probleme, dass ein Angreifer möglicherweise in der Lage wäre, das UEFI Secure Boot-Tool zu deaktivieren, sodass er während des Computerstartvorgangs (bevor das Betriebssystem gestartet wird) bösartigen Code laden und ausführen kann.
Das Laden von Malware vor dem Betriebssystem macht die meisten Antivirenlösungen nutzlos und macht die Malware selbst bei Neuinstallationen des Betriebssystems widerstandsfähig.
Fehler, kein Bug
Forscher von ESET fanden heraus, dass Lenovo versehentlich einen frühen Entwicklungstreiber eingebaut hatte, der diese Schwachstellen trug und die Angriffe ermöglichte – es handelt sich also nicht genau um einen Fehler im Code, sondern eher um einen von Menschen verursachten Fehler.
„Die betroffenen Treiber sollten nur während des Herstellungsprozesses verwendet werden, wurden aber fälschlicherweise in die Produktion aufgenommen“, erklärte ESET in a Twitter-Thread (öffnet in neuem Tab).
Um die Schwachstellen auszunutzen, müssten Angreifer eine spezielle NVRAM-Variable erstellen, was die Schlussfolgerung von ESET, dass UEFI-Firmware-Entwickler NVRAM nicht als vertrauenswürdigen Speicher verwenden sollten, weiter bekräftigt.
Die beiden fraglichen Schwachstellen werden als CVE-2022-3430 und CVE-2022-3431 verfolgt. Die Medien erwähnten auch eine dritte ähnliche Schwachstelle, die als CVE-2022-3432 verfolgt wird, aber diese betrifft nur ein Lenovo-Modell – das Ideapad Y700-14ISK. Da dieses Gerät bereits das Ende seiner Lebensdauer erreicht hat, sagte Lenovo, dass es keinen Fix herausgeben würde.
Diejenigen, die glauben, anfällig für die oben genannten Fehler zu sein, sollten zum Sicherheitsbulletin von Lenovo gehen und nachsehen, ob ihr Modell auf der Liste steht. Die Versionen der Firmware, die diese Fehler beheben, sind unter den CVE-IDs aufgeführt.
Dies ist nicht das erste Mal, dass Lenovo-Benutzer ihre Firmware aktualisieren mussten, um sich vor Boot-Hijacks zu schützen.
Im Juli 2021 wurden drei schwerwiegende Sicherheitslücken auf einer Reihe von Lenovo-Laptops entdeckt und gepatcht. Schon damals entdeckten die Forscher von ESET das Problem im ReadyBootDxe-Treiber, der von einigen Lenovo-Notebooks verwendet wird, sowie zwei Pufferüberlaufprobleme im SystemLoadDefaultDxe-Treiber, die es Angreifern möglicherweise ermöglichen, die Startroutine von Windows-Installationen zu kapern.
Die Lenovo-Linien Yoga, IdeaPad, Flex, ThinkBook, V14, V15, V130, Slim, S145, S540 und S940 waren alle betroffen und zählten mehr als 70 Endpunktmodelle.
Die Schwachstellen wurden als CVE-2022-1890, CVE-2022-1891 und CVE-2022-1892 verfolgt.
Über: Piepender Computer (öffnet in neuem Tab)