Lenovo patcht UEFI-Firmware-Schwachstellen

Die folgenden drei Sicherheitslücken hat ESET im Lenovo Notebook-BIOS entdeckt und gemeldet. CVE-2021-3970: Eine potenzielle Sicherheitslücke im LenovoVariable SMI Handler aufgrund unzureichender Validierung in einigen Lenovo Notebook-Modellen kann einem Angreifer mit lokalem Zugriff und erhöhten Rechten die Ausführung von beliebigem Code ermöglichen. CVE-2021-3971: Eine potenzielle Schwachstelle durch einen Treiber, der während älterer Herstellungsprozesse auf einigen Lenovo-Notebook-Geräten für Endverbraucher verwendet wurde und fälschlicherweise in das BIOS-Image aufgenommen wurde, könnte es einem Angreifer mit erhöhten Rechten ermöglichen, den Firmware-Schutzbereich zu ändern, indem er eine NVRAM-Variable modifiziert. CVE-2021-3972: Eine potenzielle Schwachstelle durch einen Treiber, der während des Herstellungsprozesses auf einigen Lenovo-Notebook-Geräten für Endverbraucher verwendet wird und fälschlicherweise nicht deaktiviert wurde, kann es einem Angreifer mit erhöhten Rechten ermöglichen, die Einstellungen für den sicheren Start durch Änderung einer NVRAM-Variable zu modifizieren.

Die Backdoors stammen von Lenovo selbst und sollte eigentlich nur während des Fertigungsprozesses zugänglich sein. Durch einen Fehler wurden sie jedoch in die BIOS Images übernommen, die an die Kunden ausgeliefert wurden. Diese betroffenen Firmware-Treiber können von Angreifern dazu missbraucht werden, um den SPI-Flash-Schutz (BIOS-Kontrollregister-Bits und Protected-Range-Register) abzuschalten, oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess während der Laufzeit des Betriebssystems direkt deaktivieren zu lassen. Die Ausnutzung dieser Schwachstellen würde es Angreifern ermöglichen, SPI-Flash- oder ESP-Implantate wie LoJax oder die jüngste Unified Extensible Firmware Interface (UEFI) Malware-Entdeckung ESPecter auf den betroffenen Geräten einzusetzen und erfolgreich auszuführen.

Bei UEFI-Cyberangriffen werden bösartige Operationen in einem frühen Stadium des Boot-Prozesses auf ein kompromittiertes Gerät geladen. Das bedeutet, dass die Malware Konfigurationsdaten manipulieren, sich festsetzen und möglicherweise Sicherheitsmaßnahmen umgehen kann, die erst in der Betriebssystemphase geladen werden.

Am Dienstag erklärte ESET, dass die Schwachstellen „mehr als hundert verschiedene Laptop-Modelle mit Millionen von Nutzern weltweit“ betreffen und durch Treiber verursacht werden, die nur während der Produktentwicklungsphase von Lenovo verwendet werden sollen.

Die Liste der betroffenen Produkte umfasst IdeaPads, Legion-Gaming-Geräte sowie Flex- und Yoga-Laptops.

Die erste Sicherheitslücke, CVE-2021-3970, betrifft die SW SMI-Handler-Funktion. Dieses SMM-Speicherbeschädigungsproblem, das durch eine unsachgemäße Eingabevalidierung verursacht wird, ermöglicht Angreifern das Lesen/Schreiben von SMRAM, was wiederum die Ausführung von bösartigem Code mit SMM-Privilegien und die Implementierung von SPI-Flash-Implantaten ermöglichen könnte.

„SMM ist ein hochprivilegierter Ausführungsmodus von x86-Prozessoren“, erklären die Forscher. „SMM-Code wird im Kontext der System-Firmware geschrieben und wird in der Regel für verschiedene Aufgaben verwendet, darunter erweiterte Energieverwaltung, Ausführung von OEM-eigenem Code und sichere Firmware-Updates. Er bietet eine unabhängige Ausführungsumgebung, die für das laufende Betriebssystem völlig unsichtbar ist.“

Die beiden anderen Schwachstellen, CVE-2021-3971 und CVE-2021-3972, beziehen sich auf Treiber mit den Namen SecureBackDoor und SecureBackDoorPeim.

Lenovo beschreibt die erste Sicherheitslücke als „potenzielle Schwachstelle durch einen Treiber, der während älterer Herstellungsprozesse auf einigen Lenovo-Notebook-Geräten für Endverbraucher verwendet wird und fälschlicherweise in das BIOS-Image aufgenommen wurde, wodurch ein Angreifer mit erhöhten Rechten in der Lage sein könnte, [den] Firmware-Schutzbereich durch Ändern einer NVRAM-Variable zu modifizieren“.

Das zweite Problem ist eine „potenzielle Schwachstelle durch einen Treiber, der während des Herstellungsprozesses auf einigen Lenovo-Notebook-Geräten für Endverbraucher verwendet wird und fälschlicherweise nicht deaktiviert wurde [und] es einem Angreifer mit erhöhten Rechten ermöglichen könnte, die Einstellungen für den sicheren Systemstart zu ändern, indem er eine NVRAM-Variable modifiziert.“

Die Treiber könnten, wenn sie von Lenovo-Software abgefragt werden, dazu missbraucht werden, den Flash-Schutz und UEFI Secure Boot zu deaktivieren. Angreifer mit einer ausreichend hohen Berechtigungsstufe können CVE-2021-3971 ausnutzen, um UEFI-Firmware-Einstellungen zu ändern, und CVE-2021-3972 erfordert die Manipulation von NVRAM-Variablen, um bösartige Implantate einzusetzen.

ESET meldete die drei Schwachstellen am 11. Oktober 2021 an Lenovo. Die Sicherheitslücken wurden im November geprüft und bestätigt. Inzwischen hat Lenovo Patches dafür veröffentlicht.

Es wird empfohlen, dass die Nutzer ihre Firmware sofort patchen. Lenovo hat einen Hinweis und alternative Abhilfemaßnahmen für Benutzer veröffentlicht, die die Patches zum jetzigen Zeitpunkt nicht akzeptieren können.

Allerdings werden nicht alle Geräte auf der Liste mit Fixes aktualisiert, da es sich um Legacy-Produkte handelt. Für Geräte, die nicht mehr unterstützt werden, empfiehlt ESET die Verwendung von TPM-fähiger Festplattenverschlüsselungssoftware, um Informationen unzugänglich zu machen, falls UEFI Secure Boot-Konfigurationen manipuliert werden.

„Alle in den letzten Jahren entdeckten realen UEFI-Bedrohungen – LoJax, MosaicRegressor, MoonBounce, ESPecter, FinSpy – mussten die Sicherheitsmechanismen auf irgendeine Weise umgehen oder deaktivieren, um eingesetzt und ausgeführt werden zu können“, so ESET-Forscher Martin Smolár, der die Schwachstellen entdeckt hat. „Unsere Entdeckung zeigt, dass der Einsatz von UEFI-Bedrohungen in einigen Fällen nicht so schwierig ist wie erwartet, und die größere Anzahl der in den letzten Jahren entdeckten realen UEFI-Bedrohungen deutet darauf hin, dass sich die Angreifer dessen bewusst sind.“