Lenovo warnt vor BIOS-Lücke in seinen PC-Produkten

Lenovo hat eine von einem unabhänigen Sicherheitsforscher aufgedeckte BIOS-Schwachstelle im System Managment Mode (SMM) einiger seiner PC-Produkte bestätigt. Ein Angreifer mit lokalem Administratorzugang kann die Lücke ausnutzen, um beliebigen Programmcode auf dem System auszuführen. Der SMM erlaubt den direkten Zugriff auf Hardwarekomponenten, ohne Umweg über das Betriebssystem.

Lenovos Product Security Incident Response Team (PSIRT) stuft das von der Schwachstelle ausgehende Risiko in einer Sicherheitsmeldung als „hoch“ ein. Es habe mehrmals erfolglos versucht, den Sicherheitsforscher zur Zusammenarbeit zu bewegen, bevor dieser die BIOS-Lücke öffentlich macht.

Die seitdem laufenden Untersuchungen des Herstellers haben ergeben, dass der anfällige SMM-Code von mindestens einem Zulieferer stammt. Betroffen seien ausschließlich einzelne PC-Systeme mit Intel-Chipsätzen.

Weil Lenovo den fehlerhaften Code nicht selbst entwickelt habe und derzeit noch versuche, den Originalautor zu ermitteln, sei sein ursprünglicher Zweck bisher ungeklärt, so das Lenovo PSIRT weiter. Man stehe mit sämtlichen unabhängigen BIOS-Zulieferern (Independent BIOS Vendors, IBVs) sowie Intel in Kontakt, um mögliche zusätzliche Instanzen der Schwachstelle im BIOS zu identifizieren, das Lenovo von IBVs zur Verfügung gestellt wurde. In Zusammenarbeit mit den IBVs und Intel soll dann schnellstmöglich ein Patch für die Sicherheitslücke entwickelt und verteilt werden.

Wie Lenovo ausführt, programmieren IBVs an die Hardware von OEM-Herstellern angepasste BIOS-Firmware. Üblicherweise nutzen sie dafür als Basis von Chipherstellern wie AMD oder Intel bereitgestellten Standard-Code und fügen diesem zusätzliche Schichten hinzu, die auf das entsprechende Zielsystem abgestimmt sind. Lenovo arbeitet nach eigenen Angaben mit den drei größten IBVs der Branche zusammen.

Schon Anfang Mai hatte der Sicherheitsanbieter Trustwave vor einer Schwachstelle in einer Software gewarnt, die Lenovo auf nahezu allen seinen PCs, Notebooks und Tablets vorinstalliert. Sie steckt im Lenovo Solution Center, das die Verwaltung von Sicherheitsfunktionen sowie einen Überblick über den Zustand von Software, Hardware und Netzwerkverbindungen ermöglicht. Weltweit sollen davon mehrere Millionen Nutzer betroffen sein.

Die Anfälligkeit ermöglicht Trustwave zufolge eine nicht autorisierte Ausweitung von Benutzerrechten. Ein Angreifer kann unter Umständen die vollständige Kontrolle über das System übernehmen und so Schadsoftware ausführen, selbst wenn das Solution Center augenscheinlich gar nicht ausgeführt wird.

Anders als im Fall der jetzigen BIOS-Schwachstelle wurde die Lücke vertraulich an Lenovo gemeldet. Ein Update für das Solution Center steht schon länger bereit, wird aber nicht automatisch an Kunden verteilt. Sie müssen die Software manuell starten und werden erst dann aufgefordert, die Aktualisierung auf Version 3.3.002 zu installieren.