Lenovo warnt vor BIOS-Lücke in seinen PC-Produkten

Sie steckt im System Management Mode. Ein Angreifer mit lokalem Administratorzugang kann die Schwachstelle ausnutzen, um beliebigen Code auf dem System auszuführen. Betroffen sind Lenovo zufolge nur Systeme mit Intel-Chipsätzen. Zusammen mit BIOS-Zulieferern und Intel arbeitet es an einem Patch.

Lenovo hat eine von einem unabhänigen Sicherheitsforscher aufgedeckte BIOS-Schwachstelle im System Managment Mode (SMM) einiger seiner PC-Produkte bestätigt. Ein Angreifer mit lokalem Administratorzugang kann die Lücke ausnutzen, um beliebigen Programmcode auf dem System auszuführen. Der SMM erlaubt den direkten Zugriff auf Hardwarekomponenten, ohne Umweg über das Betriebssystem.

(Bild: Lenovo)Lenovos Product Security Incident Response Team (PSIRT) stuft das von der Schwachstelle ausgehende Risiko in einer Sicherheitsmeldung als „hoch“ ein. Es habe mehrmals erfolglos versucht, den Sicherheitsforscher zur Zusammenarbeit zu bewegen, bevor dieser die BIOS-Lücke öffentlich macht.

Die seitdem laufenden Untersuchungen des Herstellers haben ergeben, dass der anfällige SMM-Code von mindestens einem Zulieferer stammt. Betroffen seien ausschließlich einzelne PC-Systeme mit Intel-Chipsätzen.

Weil Lenovo den fehlerhaften Code nicht selbst entwickelt habe und derzeit noch versuche, den Originalautor zu ermitteln, sei sein ursprünglicher Zweck bisher ungeklärt, so das Lenovo PSIRT weiter. Man stehe mit sämtlichen unabhängigen BIOS-Zulieferern (Independent BIOS Vendors, IBVs) sowie Intel in Kontakt, um mögliche zusätzliche Instanzen der Schwachstelle im BIOS zu identifizieren, das Lenovo von IBVs zur Verfügung gestellt wurde. In Zusammenarbeit mit den IBVs und Intel soll dann schnellstmöglich ein Patch für die Sicherheitslücke entwickelt und verteilt werden.

Wie Lenovo ausführt, programmieren IBVs an die Hardware von OEM-Herstellern angepasste BIOS-Firmware. Üblicherweise nutzen sie dafür als Basis von Chipherstellern wie AMD oder Intel bereitgestellten Standard-Code und fügen diesem zusätzliche Schichten hinzu, die auf das entsprechende Zielsystem abgestimmt sind. Lenovo arbeitet nach eigenen Angaben mit den drei größten IBVs der Branche zusammen.

WEBINAR

Effiziente Kollaboration mit Wissensarbeitern

Durch komplexe Projekte, die schnellen Austausch mit Experten an verschiedenen Standorten erforderlich machen, nimmt der Bedarf an effizienter und agiler Zusammenarbeit ständig zu. In diesem kostenfreien Webinar erfahren Sie, wie sich Unternehmen das dringend benötigte Expertenwissen ins Haus holen, ohne zusätzliche Kosten zu produzieren.

Schon Anfang Mai hatte der Sicherheitsanbieter Trustwave vor einer Schwachstelle in einer Software gewarnt, die Lenovo auf nahezu allen seinen PCs, Notebooks und Tablets vorinstalliert. Sie steckt im Lenovo Solution Center, das die Verwaltung von Sicherheitsfunktionen sowie einen Überblick über den Zustand von Software, Hardware und Netzwerkverbindungen ermöglicht. Weltweit sollen davon mehrere Millionen Nutzer betroffen sein.

Die Anfälligkeit ermöglicht Trustwave zufolge eine nicht autorisierte Ausweitung von Benutzerrechten. Ein Angreifer kann unter Umständen die vollständige Kontrolle über das System übernehmen und so Schadsoftware ausführen, selbst wenn das Solution Center augenscheinlich gar nicht ausgeführt wird.

Anders als im Fall der jetzigen BIOS-Schwachstelle wurde die Lücke vertraulich an Lenovo gemeldet. Ein Update für das Solution Center steht schon länger bereit, wird aber nicht automatisch an Kunden verteilt. Sie müssen die Software manuell starten und werden erst dann aufgefordert, die Aktualisierung auf Version 3.3.002 zu installieren.

Themenseiten: Lenovo, Secure-IT, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Björn Greif
Autor: Björn Greif
Redakteur ZDNet.de
Björn Greif
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Lenovo warnt vor BIOS-Lücke in seinen PC-Produkten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *