Die Anfang der Woche von Lenovo bestätigte BIOS-Schwachstelle in einigen seiner PC-Produkte, findet sich offenbar auch in Geräten anderer Hersteller. Entdeckt hatte sie der unabhängige Sicherheitsforscher Dmytro Oleksiuk, der die Lücke in Anlehnung an Lenovos ThinkPad-Serie „ThinkPwn“ taufte. Ein Angreifer mit lokalem Administratorzugang kann sie ausnutzen, um beliebigen Programmcode auf dem System auszuführen, indem er Flash Write Protection deaktiviert und dadurch wiederum Secure Boot und den Virtual Secure Mode von Windows 10 abschaltet.
Lenovo erklärte zu der Lücke, dass üblicherweise darauf spezialisierte Software-Hersteller einen von den Chipfertigern bereitgestellten Code an das jeweilige System anpassen. Man arbeite hier mit den drei führenden Firmen in dem Bereich zusammen. Damit wollte der chinesische Hersteller wohl auch einen Teil der Verantwortung für die Lücke auf Dritte abwälzen.
Allerdings ist es aufgrund dieser Konstellation und einer überschaubaren Anzahl an Chipproduzenten und BIOS-Anpassern einerseits sowie einer etwas größeren Anzahl an Komponentenlieferanten naheliegend, dass ein Fehler, der sich einmal in diesen Prozess eingeschlichen hat, an mehreren Stellen auftaucht. Dass dies tatsächlich der Fall ist, legen jetzt Untersuchungen von Oleksiuk und Alex James, einem weiteren unabhängigen Sicherheitsforscher, nahe. Oleksiuk teilt über einen Eintrag bei GitHub mit, dass die Lücke von Intel offenbar schon 2014 geschlossen wurde. Da der Chiphersteller den Patch allerdings nicht öffentlich bekannt machte, wurde die Schwachstelle von den Computerherstellern, die frühere Versionen nutzten, in ihrem UEFI-Code nie geschlossen.
Sicherheitsforscher Alex James hat die Sicherheitslücke, die Oleksiuk bei Lenovo angeprangert hat, eigenen Angaben zufolge bei einigen Laptops von Hewlett Packard und in der Firmware mehrerer Motherboards von Gigabyte Technology gefunden. Doch auch das könnte nur die Spitze eines Eisbergs sein: Da sowohl Intel als auch die BIOS-Entwickler aus Effizienzgründen aller Voraussicht nach möglichst viel identischen Code verwenden, könnte die Schwachstelle in zahlreichen weiteren Produkten stecken.
Gegenüber eWeek rät Analyst Jack Gold Unternehmen, ihre Security-Software daraufhin zu überprüfen, ob sie Malware erkennen würde, die versucht, den Exploit auszunutzen. Allerdings nimmt Gold selbst an, dass die meisten Anti-Malware-Suiten dazu nicht in der Lage sind, da der Exploit ja in der Firmware ausgeführt werde.
Gold weist allerdings darauf hin, dass ein Angreifer wahrscheinlich Zugriff auf einen USB-Port haben müsste, um die Lücke auszunutzen. Eine Alternative ist daher auch Software, die den Zugriff auf USB-Ports blockiert. Aber auch ohne solch eine Schutzmaßnahme sei der Angriff nicht ohne Weiteres und vor allem nicht massenhaft durchzuführen.
Oleksiuk hat jedoch schon erklärt, dass es seiner Ansicht nach möglich wäre, eine Malware zu entwickeln, die sich die ThinkPwn-Lücke zunutze macht. Aus Sicht der Angreifer wäre es den Aufwand wohl wert. Das gilt umso mehr, da offenbar nicht nur Millionen von Lenovo-Rechnern, die überwiegend in Firmen verwendet werden, sondern unter Umständen auch noch viel mehr Computer anderer Hersteller angreifbar wären.
Eine Schwierigkeit bestünde möglicherweise darin, dass der UEFI-Code für jedes Rechnermodell speziell geschrieben wird. Das macht es voraussichtlich erforderlich, auch die Malware individuell anzupassen, die die Lücke ausnutzen soll.
Die naheliegende Forderung ist es, dass PC-Hersteller von den BIOS-Anbietern eine neue UEFI-Version anfordern sollen, in der der fehlerbereinigte Referenzcode von Intel verwendet wird. Ein BIOS-Update würde zwar das Problem lösen, allerdings ist ein solches selbst ein Problem. Erstens kann es sehr kompliziert sein, ein derartiges Update an die Nutzer zu verteilen, zweitens kann es einen Rechner komplett unbrauchbar machen, falls es nicht korrekt durchgeführt wird.
[mit Material von Peter Marwan, silicon.de]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
Noch keine Kommentare zu Von Lenovo bestätigte BIOS-Lücke betrifft offenbar auch andere Hersteller
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.