Millionen von Lenovo-Nutzern sollten die Firmware ihrer Geräte möglichst schnell auf den neuesten Stand bringen. Das empfiehlt IT-Sicherheitsanbieter Eset, dessen Research-Team drei gefährliche Schwachstellen auf Lenovo-Geräten gefunden hat. Gefährdet sind demnach über 100 unterschiedliche Modellvarianten. Die drei Schwachstellen CVE-2021-3970 , CVE-2021-3971, CVE-2021-3972 wurden am 11. Oktober 2021 an Lenovo gemeldet. Der Hersteller hat inzwischen reagiert und ein Security Advisory veröffentlicht.
Beispielweise könnte über die Sicherheitslecks "brandgefährliche UEFI-Malware, wie Lojax oder ESPecter eingeschleust werden", warnt Eset. Das Unified Extensible Firmware Interface (UEFI) ist die Firmware des Mainboards. Haben Kriminelle darauf Zugriff, können sie im laufenden Betrieb Hardwareinformationen auslesen und manipulieren können. Da es vor dem Betriebssystem gestartet wird, lässt sich da außerdem Malware einschleusen, die besonders schwer zu entdecken und zu entfernen ist.
Eset rät Besitzern von Lenovo-Laptops, sich die Liste der betroffenen Geräte anzuschauen und ihre Firmware nach den Anweisungen des Herstellers zu aktualisieren. Für Geräte, die vom Hersteller keine Updates mehr erhalten, empfiehlt Eset, eine Trusted-Platform-Module-Lösung (TPM) zu verwenden. Die vollständige Festplattenverschlüsselung könne davor schützen, dass die Schwachstelle CVE-2021-3970 (UEFI SecureBootBackdoor) ausgenutzt wird. TPM beziehungsweise TPM 2.0 ist ohnehin empfehlenswert: Seit Juni 2021 nennt auch Microsoft es als Teil der Systemvoraussetzungen für Windows 11. Bereits ein Jahr zuvor hatte der Konzern Windows Defender ATP um UEFI-Scanner erweitert. Auch Eset bietet ein UEFI-Prüfmodul an.
"UEFI-Malware kann lange unbemerkt bleiben und stellt ein immenses Bedrohungspotenzial dar. Die Schadprogramme werden früh im Boot-Prozess ausgeführt, bevor das Betriebssystem startet. Das bedeutet, dass sie fast alle Sicherheitsmaßnahmen und Begrenzungen auf höheren Ebenen gegen Schadcode umgehen", sagt Eset-Forscher Martin Smolár, der die Schwachstellen entdeckt hat. Seiner Meinung nach sind UEFI-Hintertüren nicht so schwer auszunutzen, wie von Anwendern oft angenommen wird. Darauf, dass Angreifer sich dessen bereits bewusst sind, deuteten auch weitere UEFI-Lücken hin, die in den vergangenen Jahren gefunden wurden: "Alle UEFI-Bedrohungen, die in den letzten Jahren entdeckt wurden, wie LoJax, MasaicRegressor, MoonBounce, ESPecter oder Finspy, mussten die Sicherheitsmechanismen auf irgendeine Weise umgehen oder deaktivieren", erklärt Smolár.
Die von Lenovo nun behobenen Schachstellen zeigen aber auch ein grundsätzliches Problem beim Umgang der Hersteller mit Firmware auf. CVE-2021-3970 und CVE-2021-3971 sind als "sicher" erachtete, in die UEFI-Firmware eingebaute, Hintertüren. Sie können aktiviert werden, um den SPI-Flash-Schutz (BIOS-Kontrollregister-Bits und Protection-Range-Register) oder die UEFI-Secure-Boot-Funktion während des laufenden Betriebssystems von einem privilegierten Benutzermodus-Prozess zu deaktivieren. Solche versteckten Funktionen wurden in der Vergangenheit schon öfter kritisiert.