Lenovo hat bestätigt, dass sich eine von einem unabhängigen Sicherheitsforscher entdeckte BIOS-Schwachstelle im System Management Mode (SMM) einiger Lenovo-PCs von einem Angreifer mit lokalem Administratorzugang ausnutzen lässt, um auf dem System beliebigen Programmcode auszuführen. Mit dem System Management Mode ist es möglich, ohne Umweg über das Betriebssystem direkt auf Hardwarekomponenten zuzugreifen.
Das Product Security Incident Response Team (PSIRT) von Lenovo stuft das von der Sicherheitslücke ausgehende Risiko in einer Warnung als “hoch” ein. Den Sicherheitsforscher, der sie entdeckt hatte, habe man mehrmals erfolglos versucht, zur Zusammenarbeit zu bewegen, bevor dieser die BIOS-Lücke nun öffentlich gemacht hat.
Die Untersuchungen des Herstellers haben gezeigt, dass der anfällige Code von mindestens einem Zulieferer stammt. Betroffen seien ausschließlich einzelne PC-Systeme mit Intel-Chipsätzen.
Derzeit sucht Lenovo noch nach dem Autor des fehlerhaften Codes und versucht zu klären, warum der überhaupt Teil des BIOS ist. Wie das Lenovo PSIRT erklärt, steht mit dazu mit allen BIOS-Zulieferern sowie mit Intel in Kontakt. In Zusammenarbeit mit ihnen soll dann auch umgehend ein Patch für die Sicherheitslücke entwickelt und verteilt werden.
Lenovo erklärt, dass es regelmäßig auf Firmen zurückgreift, die an die Hardware von OEM-Herstellern angepasste BIOS-Firmware programmieren. Die nutzen dazu üblicherweise von Chipherstellern wie AMD oder Intel bereitgestellten Standard-Code und ergänzen diesen, um ihn auf das entsprechende Zielsystem abzustimmen. Nach eigenen Angaben arbeitet Lenovo mit den drei größten Spezialisten für diese Aufgabe zusammen.
Anfang Mai hatte Trustwave auf eine Schwachstelle im Lenovo Solution Center hingewiesen. Diese Software wird von Lenovo auf nahezu allen PCs, Notebooks und Tablets vorinstalliert und soll die Verwaltung von Sicherheitsfunktionen sowie einen Überblick über den Zustand von Software, Hardware und Netzwerkverbindungen ermöglichen. Weltweit sind davon mehrere Millionen Nutzer betroffen gewesen.
Über die Lücke hätte sich ein Angreifer erweiterte Benutzerrechte verschaffen und unter Umständen die vollständig die Kontrolle über ein System übernehmen könne. Das wäre auch möglich gewesen, wenn das Solution Center augenscheinlich gar nicht ausgeführt wird. Im Gegensatz zur aktuellen Lücke wurde diese Schwachstelle jedoch vertraulich an Lenovo gemeldet. Der Hersteller konnte dadurch rechtzeitig ein Update für das Solution Center bereitstellen. Das wird allerdings nicht automatisch verteilt. Kunden müssen die Software manuell starten und werden dann aufgefordert, die Aktualisierung auf Version 3.3.002 zu installieren.
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.
