Lenovo hat bestätigt, dass sich eine von einem unabhängigen Sicherheitsforscher entdeckte BIOS-Schwachstelle im System Management Mode (SMM) einiger Lenovo-PCs von einem Angreifer mit lokalem Administratorzugang ausnutzen lässt, um auf dem System beliebigen Programmcode auszuführen. Mit dem System Management Mode ist es möglich, ohne Umweg über das Betriebssystem direkt auf Hardwarekomponenten zuzugreifen.
Das Product Security Incident Response Team (PSIRT) von Lenovo stuft das von der Sicherheitslücke ausgehende Risiko in einer Warnung als “hoch” ein. Den Sicherheitsforscher, der sie entdeckt hatte, habe man mehrmals erfolglos versucht, zur Zusammenarbeit zu bewegen, bevor dieser die BIOS-Lücke nun öffentlich gemacht hat.
Die Untersuchungen des Herstellers haben gezeigt, dass der anfällige Code von mindestens einem Zulieferer stammt. Betroffen seien ausschließlich einzelne PC-Systeme mit Intel-Chipsätzen.
Derzeit sucht Lenovo noch nach dem Autor des fehlerhaften Codes und versucht zu klären, warum der überhaupt Teil des BIOS ist. Wie das Lenovo PSIRT erklärt, steht mit dazu mit allen BIOS-Zulieferern sowie mit Intel in Kontakt. In Zusammenarbeit mit ihnen soll dann auch umgehend ein Patch für die Sicherheitslücke entwickelt und verteilt werden.
Lenovo erklärt, dass es regelmäßig auf Firmen zurückgreift, die an die Hardware von OEM-Herstellern angepasste BIOS-Firmware programmieren. Die nutzen dazu üblicherweise von Chipherstellern wie AMD oder Intel bereitgestellten Standard-Code und ergänzen diesen, um ihn auf das entsprechende Zielsystem abzustimmen. Nach eigenen Angaben arbeitet Lenovo mit den drei größten Spezialisten für diese Aufgabe zusammen.
Anfang Mai hatte Trustwave auf eine Schwachstelle im Lenovo Solution Center hingewiesen. Diese Software wird von Lenovo auf nahezu allen PCs, Notebooks und Tablets vorinstalliert und soll die Verwaltung von Sicherheitsfunktionen sowie einen Überblick über den Zustand von Software, Hardware und Netzwerkverbindungen ermöglichen. Weltweit sind davon mehrere Millionen Nutzer betroffen gewesen.
Über die Lücke hätte sich ein Angreifer erweiterte Benutzerrechte verschaffen und unter Umständen die vollständig die Kontrolle über ein System übernehmen könne. Das wäre auch möglich gewesen, wenn das Solution Center augenscheinlich gar nicht ausgeführt wird. Im Gegensatz zur aktuellen Lücke wurde diese Schwachstelle jedoch vertraulich an Lenovo gemeldet. Der Hersteller konnte dadurch rechtzeitig ein Update für das Solution Center bereitstellen. Das wird allerdings nicht automatisch verteilt. Kunden müssen die Software manuell starten und werden dann aufgefordert, die Aktualisierung auf Version 3.3.002 zu installieren.
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
