Categories: Sicherheit

Von Lenovo bestätigte BIOS-Lücke betrifft offenbar auch andere Hersteller

Die Anfang der Woche von Lenovo bestätigte BIOS-Schwachstelle in einigen seiner PC-Produkte, findet sich offenbar auch in Geräten anderer Hersteller. Entdeckt hatte sie der unabhängige Sicherheitsforscher Dmytro Oleksiuk, der die Lücke in Anlehnung an Lenovos ThinkPad-Serie „ThinkPwn“ taufte. Ein Angreifer mit lokalem Administratorzugang kann sie ausnutzen, um beliebigen Programmcode auf dem System auszuführen, indem er Flash Write Protection deaktiviert und dadurch wiederum Secure Boot und den Virtual Secure Mode von Windows 10 abschaltet.

Lenovo erklärte zu der Lücke, dass üblicherweise darauf spezialisierte Software-Hersteller einen von den Chipfertigern bereitgestellten Code an das jeweilige System anpassen. Man arbeite hier mit den drei führenden Firmen in dem Bereich zusammen. Damit wollte der chinesische Hersteller wohl auch einen Teil der Verantwortung für die Lücke auf Dritte abwälzen.

Allerdings ist es aufgrund dieser Konstellation und einer überschaubaren Anzahl an Chipproduzenten und BIOS-Anpassern einerseits sowie einer etwas größeren Anzahl an Komponentenlieferanten naheliegend, dass ein Fehler, der sich einmal in diesen Prozess eingeschlichen hat, an mehreren Stellen auftaucht. Dass dies tatsächlich der Fall ist, legen jetzt Untersuchungen von Oleksiuk und Alex James, einem weiteren unabhängigen Sicherheitsforscher, nahe. Oleksiuk teilt über einen Eintrag bei GitHub mit, dass die Lücke von Intel offenbar schon 2014 geschlossen wurde. Da der Chiphersteller den Patch allerdings nicht öffentlich bekannt machte, wurde die Schwachstelle von den Computerherstellern, die frühere Versionen nutzten, in ihrem UEFI-Code nie geschlossen.

Sicherheitsforscher Alex James hat die Sicherheitslücke, die Oleksiuk bei Lenovo angeprangert hat, eigenen Angaben zufolge bei einigen Laptops von Hewlett Packard und in der Firmware mehrerer Motherboards von Gigabyte Technology gefunden. Doch auch das könnte nur die Spitze eines Eisbergs sein: Da sowohl Intel als auch die BIOS-Entwickler aus Effizienzgründen aller Voraussicht nach möglichst viel identischen Code verwenden, könnte die Schwachstelle in zahlreichen weiteren Produkten stecken.

Gegenüber eWeek rät Analyst Jack Gold Unternehmen, ihre Security-Software daraufhin zu überprüfen, ob sie Malware erkennen würde, die versucht, den Exploit auszunutzen. Allerdings nimmt Gold selbst an, dass die meisten Anti-Malware-Suiten dazu nicht in der Lage sind, da der Exploit ja in der Firmware ausgeführt werde.

Gold weist allerdings darauf hin, dass ein Angreifer wahrscheinlich Zugriff auf einen USB-Port haben müsste, um die Lücke auszunutzen. Eine Alternative ist daher auch Software, die den Zugriff auf USB-Ports blockiert. Aber auch ohne solch eine Schutzmaßnahme sei der Angriff nicht ohne Weiteres und vor allem nicht massenhaft durchzuführen.

Oleksiuk hat jedoch schon erklärt, dass es seiner Ansicht nach möglich wäre, eine Malware zu entwickeln, die sich die ThinkPwn-Lücke zunutze macht. Aus Sicht der Angreifer wäre es den Aufwand wohl wert. Das gilt umso mehr, da offenbar nicht nur Millionen von Lenovo-Rechnern, die überwiegend in Firmen verwendet werden, sondern unter Umständen auch noch viel mehr Computer anderer Hersteller angreifbar wären.

Eine Schwierigkeit bestünde möglicherweise darin, dass der UEFI-Code für jedes Rechnermodell speziell geschrieben wird. Das macht es voraussichtlich erforderlich, auch die Malware individuell anzupassen, die die Lücke ausnutzen soll.

Die naheliegende Forderung ist es, dass PC-Hersteller von den BIOS-Anbietern eine neue UEFI-Version anfordern sollen, in der der fehlerbereinigte Referenzcode von Intel verwendet wird. Ein BIOS-Update würde zwar das Problem lösen, allerdings ist ein solches selbst ein Problem. Erstens kann es sehr kompliziert sein, ein derartiges Update an die Nutzer zu verteilen, zweitens kann es einen Rechner komplett unbrauchbar machen, falls es nicht korrekt durchgeführt wird.

[mit Material von Peter Marwan, silicon.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

15 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

17 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

18 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

21 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

21 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

22 Stunden ago