Schon wieder: Lenovo warnt vor eigener Software

(Bild: Ubergizmo)

Eine Bios-Schwachstelle in Lenovo-PCs sorgt dafür, dass Lenovo vor seinen eigenen Produkten warnen muss. Die Lücke hatten Sicherheitsforscher im System Managment Mode (SMM) gefunden. Angreifer können die Lücke nutzen, um beliebigen Programmcode auszuführen.

Der SMM im BIOS von Lenovo-Rechnern ermöglicht den Zugriff auf Hardwarekomponenten, ohne Umweg über das Betriebssystem. Das ist Lenovo nun zum Verhängnis geworden. Lokale Adminrechte reichen aus, um auf dem PC beliebigen Code ausführen.

Lenovos Product Security Incident Response Team (PSIRT) stuft das von der Schwachstelle ausgehende Risiko in einer Sicherheitsmeldung als „hoch“ ein. Es habe mehrmals erfolglos versucht, den Sicherheitsforscher zur Zusammenarbeit zu bewegen, bevor dieser die BIOS-Lücke öffentlich macht.

Die seitdem laufenden Untersuchungen des Herstellers haben ergeben, dass der anfällige SMM-Code von mindestens einem Zulieferer stammt. Betroffen seien ausschließlich einzelne PC-Systeme mit Intel-Chipsätzen.

Weil Lenovo den fehlerhaften Code nicht selbst entwickelt habe und derzeit noch versuche, den Originalautor zu ermitteln, sei sein ursprünglicher Zweck bisher ungeklärt, so das Lenovo PSIRT weiter. Man stehe mit sämtlichen unabhängigen BIOS-Zulieferern (Independent BIOS Vendors, IBVs) sowie Intel in Kontakt, um mögliche zusätzliche Instanzen der Schwachstelle im BIOS zu identifizieren, das Lenovo von IBVs zur Verfügung gestellt wurde. In Zusammenarbeit mit den IBVs und Intel soll dann schnellstmöglich ein Patch für die Sicherheitslücke entwickelt und verteilt werden.

Wie Lenovo ausführt, programmieren IBVs an die Hardware von OEM-Herstellern angepasste BIOS-Firmware. Üblicherweise nutzen sie dafür als Basis von Chipherstellern wie AMD oder Intel bereitgestellten Standard-Code und fügen diesem zusätzliche Schichten hinzu, die auf das entsprechende Zielsystem abgestimmt sind. Lenovo arbeitet nach eigenen Angaben mit den drei größten IBVs der Branche zusammen.

Schon Anfang Mai hatte der Sicherheitsanbieter Trustwave vor einer Schwachstelle in einer Software gewarnt, die Lenovo auf nahezu allen seinen PCs, Notebooks und Tablets vorinstalliert. Sie steckt im Lenovo Solution Center, das die Verwaltung von Sicherheitsfunktionen sowie einen Überblick über den Zustand von Software, Hardware und Netzwerkverbindungen ermöglicht. Weltweit sollen davon mehrere Millionen Nutzer betroffen sein.

Die Anfälligkeit ermöglicht Trustwave zufolge eine nicht autorisierte Ausweitung von Benutzerrechten. Ein Angreifer kann unter Umständen die vollständige Kontrolle über das System übernehmen und so Schadsoftware ausführen, selbst wenn das Solution Center augenscheinlich gar nicht ausgeführt wird.

Anders als im Fall der jetzigen BIOS-Schwachstelle wurde die Lücke vertraulich an Lenovo gemeldet. Ein Update für das Solution Center steht schon länger bereit, wird aber nicht automatisch an Kunden verteilt. Sie müssen die Software manuell starten und werden erst dann aufgefordert, die Aktualisierung auf Version 3.3.002 zu installieren.

Tags :Quellen:Björn Greif, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising