Schwachstelle per BIOS-Bug im (Lenovo) System Management Mode

Zum Wochenstart mal wieder eine Warnung an Besitzer von Lenovo-Geräten. Es wurde eine Sicherheitslücke im "BIOS" entdeckt, die problematisch werden könnte. Update: Wie es ausschaut, kann der fehlerhafte Code im System Management Mode auch bei BIOS/UEFI-Implementierungen anderer Hersteller enthalten sein.


Anzeige

Die Lenovo System Management Mode-Schwachstelle

Der Hersteller warnt vor einer ungepatchten Schwachstelle im System Management Mode (SMM) des BIOS. Anwender mit lokalen Administratorrechten können Code über den System Management Mode ausführen, der direkten Zugriff auf die Hardware (am Betriebssystem vorbei) erhält. Einige zusätzliche Infos finden hier bei heise.de. Die Vermutung, dass es sich möglicherweise um eine "Backdoor" handelt, lässt sich zwar nicht entkräften – aber die nachfolgenden Ausführungen gehen in eine andere Richtung.

Hier noch eine (unvollständige) Liste der betroffenen Lenovo-Geräte: T440, T440p, T440s, T440u, T450, T450s, T540, T540p, T550, W540, W541, W550s, X1 Carbon (20Ax and 20Bx), X240, X240s, X250 and Yoga 15 / S5 Yoga

Update: Auch andere Hersteller betroffen

Der System Management Mode (SMM) ist (laut Wikipedia) ein Ausführungsmodus für Intel-Prozessoren und für die Hardware-Kontrolle, das Energiemanagement und herstellerspezifische Anwendungen gedacht. Bei Wikipedia kann man auch folgendes Zitat lesen:

Da die Ausführung im SMM für das Betriebssystem und die laufenden Anwendungen (wie beispielsweise Virenscanner) nicht sichtbar ist, stellt der SMM einen erstrebenswerten Betriebsmodus für Schadsoftware dar.

Und bei heise.de habe ich bei der Suche einen aus 2015 stammenden Beitrag Programmier-Tipps für die BIOS-Backdoor gefunden, der sich lange vor der jetzigen Lenovo-Warnung mit den Problemen des SMM befasst. So viel als Hintergrundinformation.

Der SMM-Fehler wurde in diesem Blog-Beitrag beschrieben. Soweit ich es beim Querlesen erfasst habe, ist das Problem, dass es eine SMM Callback-Funktion im BIOS/UEFI gibt. Dies führt beim Entdecker zur Spekulation, das es sich um eine Backdoor handeln könnte. Aber er führt auch aus, dass (falls das zutrifft) diese wohl nicht durch Lenovo eingebaut worden ist. Die "Backdoor" bzw. die betreffende SMM-Funktion SmmRuntimeManagementCallback() ist übrigens in diesem Code-Auszug beschrieben.


Anzeige

Im Blog-Beitrag wird auch das Feature "Boot Guard" (Intel) angesprochen und ausgeführt, dass andere Hersteller ebenfalls betroffen sind. Das geht auch aus der ursprünglichen Lenovo-Warnung hervor:

Lenovo Security Advisory:  LEN-8324
Potential Impact:  Execution of code in SMM by an attacker with local administrative access
Severity:  High
Scope of Impact: Industry-wide

Fehler aus Intel SDK in UEFI-Implementierungen übernommen?

In diesem heise.de-Forenkommentar finden sich noch einige Hintergrundinformationen. Zitat aus dem Kommentar:

Ursprünglich wurde die Lücke wohl in der Firma von diesen Intel-Edison-Boards mit Quark-SoC gefunden, und danach hat der Finder dann gemerkt, dass die Firmware seines eigenen Thinkpads für dieselbe Lücke ebenfalls verwundbar ist. Sind aber wohl ebenfalls Geräte anderer Hersteller betroffen, beispielsweise ein HP-Laptop-Modell von 2010 mit nem Intel HM55-Chipsatz (genauer: HP dv7 4087cl).

Interessant ist aber auch, dass diese Lücke in einem (nicht-öffentlichen) SDK von Intel zu finden war und durch das Unternehmen bereits 2014 gefixt wurde (siehe auch hier). Da Intel nie ein Advisory zu diesem Problem rausgegeben hat, dürfte der Fehler in diversen UEFI-Implementierungen diverser Hersteller zu finden sein.

Der Entdecker der Lücke hat ein Exploit bei Github veröffentlicht. Aber die Angreifer brauchen Zugriff auf den betreffenden Rechner. Was aber bei Industriespionage oder ähnliche Überwachungsaufgaben kein wirkliches Hindernis darstellen dürfte. Einige Infos zu der angerissenen Technik "Boot Guard" finden sich in diesem Kommentar bei heise.de.

Unter dem Strich bleibt für mich nur folgendes Fazit: Mit neueren Hardware-Generationen kommen immer mehr Schweinereien ins System, wo Du als Nutzer kaum eine Ahnung hast. Und die OEMs nutzen diese Features für allerlei Schweinereien (siehe auch folgende Artikel).

Ähnliche Artikel:
Backdoor 'Windows Platform Binary Table' (WPBT)
Windows 10, Autotreiber-Ärger und Intel "Board-Intelligenz"


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Schwachstelle per BIOS-Bug im (Lenovo) System Management Mode

  1. Ergänzung: Bei heise.de hat man zwischenzeitlich den Artikel ThinkPwn: BIOS-Lücke bedroht nicht nur Lenovo-Computer zum Thema publiziert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.