Drei hochgradig gefährliche UEFI-Sicherheitsschwachstellen (Unified Extensible Firmware Interface) wurden in verschiedenen Lenovo-Laptop-Modellen entdeckt, die es böswilligen Akteuren ermöglichen, Firmware-Implantate auf den betroffenen Geräten zu installieren und auszuführen.
Die beiden letztgenannten Schwachstellen mit den Bezeichnungen CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972 „betreffen Firmware-Treiber, die ursprünglich nur während des Herstellungsprozesses von Lenovo-Notebooks verwendet werden sollten“, so ESET-Forscher Martin Smolár in einem heute veröffentlichten Bericht.
„Leider wurden sie versehentlich auch in die Produktions-BIOS-Images aufgenommen, ohne ordnungsgemäß deaktiviert zu werden“, so Smolár weiter.
Wenn die Schwachstellen erfolgreich ausgenutzt werden, kann ein Angreifer den SPI-Flash-Schutz oder Secure Boot deaktivieren und so hartnäckige Malware installieren, die einen Systemneustart überleben kann.
CVE-2021-3970 hingegen bezieht sich auf einen Fall von Speicherbeschädigung im System Management Mode (SMM) der Firma, der zur Ausführung von Schadcode mit den höchsten Privilegien führt.
Die drei Schwachstellen wurden dem PC-Hersteller am 11. Oktober 2021 gemeldet, woraufhin am 12. April 2022 Patches veröffentlicht wurden. Im Folgenden findest du eine Zusammenfassung der drei Schwachstellen, wie sie von Lenovo beschrieben wurden.
CVE-2021-3970 – Eine potenzielle Schwachstelle im LenovoVariable SMI Handler aufgrund unzureichender Validierung in einigen Lenovo Notebook-Modellen kann es einem Angreifer mit lokalem Zugriff und erhöhten Rechten ermöglichen, beliebigen Code auszuführen.
CVE-2021-3971 – Eine potenzielle Schwachstelle durch einen Treiber, der während älterer Herstellungsprozesse auf einigen Lenovo-Notebook-Geräten für Endverbraucher verwendet wurde und fälschlicherweise in das BIOS-Image aufgenommen wurde, könnte es einem Angreifer mit erhöhten Rechten ermöglichen, die Firmware-Schutzregion zu ändern, indem er eine NVRAM-Variable modifiziert.
CVE-2021-3972 – Eine potenzielle Schwachstelle durch einen Treiber, der während des Herstellungsprozesses auf einigen Lenovo-Notebook-Geräten für Endverbraucher verwendet wird und fälschlicherweise nicht deaktiviert wurde, kann es einem Angreifer mit erhöhten Rechten ermöglichen, die Secure-Boot-Einstellung zu ändern, indem er eine NVRAM-Variable modifiziert.
Die Schwachstellen, die sich auf Lenovo Flex, IdeaPads, Legion, V14, V15 und V17 Serie sowie Yoga Laptops auswirken, kommen zu den bis zu 50 UEFI-Firmware-Schwachstellen hinzu, die seit Anfang des Jahres in InsydeH2O von Insyde Software, HP und Dell bekannt wurden.
In der Liste sind sechs schwerwiegende Schwachstellen in der HP-Firmware enthalten, die Laptops und Desktops betreffen. Wenn sie erfolgreich ausgenutzt werden, können Angreifer lokal auf SMM-Rechte aufsteigen und einen Denial-of-Service (DoS)-Zustand auslösen.
„UEFI-Bedrohungen können extrem heimlich und gefährlich sein“, so Smolár. „Sie werden früh im Boot-Prozess ausgeführt, bevor sie die Kontrolle an das Betriebssystem übergeben. Das bedeutet, dass sie fast alle Sicherheitsmaßnahmen und Abschwächungen weiter oben im Stack umgehen können, die verhindern könnten, dass ihre Betriebssystem-Nutzdaten ausgeführt werden.“