Getty Images
Lenovo hat Sicherheitsupdates für mehr als 100 Laptop-Modelle veröffentlicht, um kritische Schwachstellen zu beheben, die es fortgeschrittenen Hackern ermöglichen, heimlich bösartige Firmware zu installieren, die nahezu unmöglich zu entfernen oder in einigen Fällen zu erkennen ist.
Drei Schwachstellen, die mehr als 1 Million Laptops betreffen, können Hackern die Möglichkeit geben, das UEFI eines Computers zu ändern. UEFI, kurz für Unified Extensible Firmware Interface, ist die Software, die die Gerätefirmware eines Computers mit seinem Betriebssystem verbindet. Als erste Software, die ausgeführt wird, wenn praktisch jede moderne Maschine eingeschaltet wird, ist sie das erste Glied in der Sicherheitskette. Da sich das UEFI in einem Flash-Chip auf dem Motherboard befindet, sind Infektionen schwer zu erkennen und noch schwieriger zu entfernen.
Ach nein
Zwei der Schwachstellen – verfolgt als CVE-2021-3971 und CVE-2021-3972 – befinden sich in UEFI-Firmware-Treibern, die nur für die Verwendung während des Herstellungsprozesses von Lenovo Consumer-Notebooks vorgesehen sind. Die Lenovo-Ingenieure haben die Treiber versehentlich in die Produktions-BIOS-Images eingefügt, ohne ordnungsgemäß deaktiviert zu werden. Hacker können diese fehlerhaften Treiber ausnutzen, um Schutzmaßnahmen zu deaktivieren, darunter UEFI Secure Boot, BIOS-Steuerregisterbits und geschützte Bereichsregister, die in die serielle Peripherieschnittstelle (SPI) integriert sind und dazu dienen, unbefugte Änderungen an der darauf ausgeführten Firmware zu verhindern.
Nach der Entdeckung und Analyse der Schwachstellen fanden Forscher der Sicherheitsfirma ESET eine dritte Schwachstelle, CVE-2021-3970. Es ermöglicht Hackern, bösartige Firmware auszuführen, wenn ein Computer in den Systemverwaltungsmodus versetzt wird, einen Betriebsmodus mit hohen Privilegien, der normalerweise von Hardwareherstellern für die Systemverwaltung auf niedriger Ebene verwendet wird.
„Basierend auf der Beschreibung sind das alles ziemliche ‚Oh nein‘-Arten von Angriffen für ausreichend fortgeschrittene Angreifer“, sagte Trammel Hudson, ein auf Firmware-Hacks spezialisierter Sicherheitsforscher, gegenüber Ars. „Das Umgehen von SPI-Flash-Berechtigungen ist ziemlich schlecht.“
Er sagte, der Schweregrad könne durch Schutzmaßnahmen wie BootGuard verringert werden, das verhindern soll, dass unbefugte Personen während des Startvorgangs bösartige Firmware ausführen. Andererseits haben Forscher in der Vergangenheit kritische Schwachstellen aufgedeckt, die BootGuard untergraben. Dazu gehören drei von Hudson im Jahr 2020 entdeckte Fehler, die verhinderten, dass der Schutz funktionierte, wenn ein Computer aus dem Ruhemodus kam.
Einschleichen in den Mainstream
Obwohl immer noch selten, werden sogenannte SPI-Implantate immer häufiger. Eine der größten Bedrohungen des Internets – eine als Trickbot bekannte Malware – begann 2020 damit, einen Treiber in ihre Codebasis zu integrieren, der es Menschen ermöglicht, Firmware in praktisch jedes Gerät zu schreiben. Die einzigen zwei anderen dokumentierten Fälle von bösartiger UEFI-Firmware, die in freier Wildbahn verwendet wird, sind LoJax, das von der russischen staatlichen Hackergruppe geschrieben wurde, die unter mehreren Namen bekannt ist, darunter Sednit, Fancy Bear oder APT 28. Die zweite Instanz war UEFI-Malware dieser Sicherheit Firma Kaspersky auf Computern von Diplomaten in Asien entdeckt.
Alle drei von ESET entdeckten Lenovo-Schwachstellen erfordern lokalen Zugriff, was bedeutet, dass der Angreifer bereits die Kontrolle über den anfälligen Computer mit uneingeschränkten Rechten haben muss. Die Hürde für diese Art von Zugriff ist hoch und würde wahrscheinlich das Ausnutzen einer oder mehrerer kritischer anderer Schwachstellen an anderer Stelle erfordern, die einen Benutzer bereits einem erheblichen Risiko aussetzen würden.
Dennoch sind die Schwachstellen schwerwiegend, da sie anfällige Laptops mit Malware infizieren können, die weit über das hinausgeht, was normalerweise mit herkömmlicher Malware möglich ist. Lenovo hat hier eine Liste mit mehr als 100 betroffenen Modellen.