Aktuelle BIOS-Lücke möglicherweise nicht nur ein Lenovo-Problem

Die Anfang der Woche von Lenovo bestätigte und als “hohes Risiko” eingestufte Sicherheitslücke in der Firmware zahlreicher Lenovo-Rechner steckt offenbar auch in Geräten anderer Hersteller. Die von ihrem Entdecker Dmytro Oleksiuk “ThinkPwn” genannte Lücke erlaubt es einem Angreifer mit lokalem Administratorzugang Flash Write Protection zu deaktivieren und dadurch wiederum Secure Boot und den Virtual Secure Mode bei Windows 10 abzuschalten. Danach kann er aus dem System beliebigen Programmcode ausführen.

Lenovo erklärte zu der Lücke, dass üblicherweise darauf spezialisierte Software-Hersteller einen von den Chip-Fertigen bereitgestellten Code auf das jeweilige System anpassen. Man arbeite hier mit den drei führenden Firmen in dem Bereich zusammen. Damit wollte der Hersteller wohl auch einen Teil der Verantwortung für die Lücke auf Dritte abwälzen. Allerdings ist es aufgrund dieser Konstellation und einer überschaubaren Anzahl an Chip-Produzenten und BIOS-Anpassern einerseits, sowie einer größeren, aber dennoch endlichen Anzahl an Komponentenlieferanten nur naheliegend , dass ein Fehler, der sich einmal in diesem Prozess eingeschlichen hat, an mehreren Stellen auftaucht.

Dass dies tatsächlich der Fall ist, legen jetzt Untersuchungen von Oleksiuk und Alex James, einem weiteren, unabhängigen Sicherheitsforscher, nahe. Oleksiuk teilt über einen Eintrag bei GitHub mit, dass die Lücke von Intel offenbar schon 2014 geschlossen wurde. Da der Chip-Hersteller den Patch allerdings nicht öffentlich bekannt machte, wurde die Lücke von den Computer-Herstellern, die frühere Versionen nutzten, in ihrem UEFI-Code nie geschlossen.

Sicherheitsforscher Alex James hat die Sicherheitslücke, die Oleksiuk bei Lenovo angeprangert hat, eigenen Angaben zufolge bei einigen Laptops von Hewlett Packard und in der Firmware mehrerer Motherboards von Gigabyte Technology gefunden. Doch auch das könnte nur die Spitze eines Eisbergs sein: Da sowohl Intel als auch die BIOS-Entwickler aus Effizienzgründen aller Voraussicht nach so viel identischen Code wie möglich verwenden, könnte sie in zahlreichen weiteren Produkten stecken.

Gegenüber eWeek rät Analyst Jack Gold Unternehmen, ihre Security-Software daraufhin zu überprüfen, ob sie Malware erkennen würde die versucht, den Exploit auszunutzen. Allerdings nimmt Gold selbst an, dass die meisten Anti-Malware-Suiten dazu nicht in der Lage sind, da der Exploit ja in der Firmware ausgeführt werde.

Gold weist allerdings auch darauf hin, dass ein Angreifer, um die Lücke auszunutzen, wahrscheinlich Zugriff auf einen USB-Port haben müsste. Eine Alternative ist daher auch Software, die den Zugriff auf USB-Ports blockiert. Aber auch ohne die ist der Angriff nicht ohne weiteres und vor allem nicht massenhaft durchzuführen.

Zumindest noch nicht. Oleksiuk hat bereits erklärt, dass es seiner Ansicht nach möglich wäre, eine Malware zu entwickeln, die sich die ThinkPwn-Lücke zunutze macht. Aus Sicht der Angreifer wäre es der Aufwand wohl wert. Das gilt umso mehr, da nun ja offenbar nicht nur Millionen von Lenovo-Rechnern, die überwiegend in Firmen verwendet werden, sondern unter Umständen auch noch viel mehr Rechner anderer Hersteller angreifbar wären.

Eine Schwierigkeit dabei wäre es möglicherweise, dass das UEFI für jedes Rechnermodell speziell geschrieben wird. Das macht es voraussichtlich erforderlich, dasselbe auch mit der Malware zu tun, die die Lücke ausnutzen soll.

Die naheliegende Forderung ist es, dass PC-Hersteller von den BIOS-Anbietern eine neue UEFI-Version anfordern sollen, in der der fehlerbereinigte Referenzcode von Intel verwendet wird. Ein BIOS-Update würde zwar das Problem lösen – allerdings ist ein BIOS-Update selbst ein Problem. Erstens kann es sehr kompliziert sein, ein derartiges Update an die Nutzer zu verteilen, zweitens kann es dazu führen, falls diese das Update nicht korrekt vornehmen, dass sie ihren Rechner komplett unbrauchbar machen.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.