ESET findet 3 kritische Schwachstellen im UEFI von Lenovo Consumer-Notebooks

[English]Nutzer von Lenovo-Notebooks sollten reagieren. Sicherheitsanbieter ESET hat gerade bekannt gegeben, dass man drei als sicherheitstechnisch hoch problematisch bewertete Schwachstellen (CVE-2021-3970, CVE-2021-3971, CVE-2021-3972) im UEFI von Lenovo Consumer-Notebooks entdeckt habe. Die Ausnutzung ermöglicht es Angreifern, UEFI-Malware wie LoJax oder ESPecter auf den betroffenen Geräten einzusetzen und erfolgreich auszuführen.

Ich bin über nachfolgende Tweets von ESET auf das Thema aufmerksam geworden – die Details hat ESET in diesem Blog-Beitrag veröffentlicht. Die Schwachstellen betreffen verschiedene Lenovo-Notebook-Modelle.

Die Schwachstellen CVE-2021-3971, CVE-2021-3972

Die ersten beiden dieser Schwachstellen – CVE-2021-3971, CVE-2021-3972 – betreffen UEFI-Firmware-Treiber, die ursprünglich nur während der Fertigung Lenovo Consumer-Notebooks verwendet werden sollten. Leider wurden sie versehentlich auch in die Produktions-BIOS-Images aufgenommen, ohne dass sie ordnungsgemäß deaktiviert wurden.

Die betroffenen Firmware-Treiber können von Angreifern aktiviert werden, um die SPI-Flash-Schutzfunktionen (BIOS-Steuerregister-Bits und Protected-Range-Register) oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess aus während der Laufzeit des Betriebssystems direkt zu deaktivieren. Die Ausnutzung dieser Schwachstellen ermöglicht Angreifern SPI-Flash- oder ESP-Implantate wie LoJax oder die neueste UEFI-Malware-Entdeckung ESPecter auf den betroffenen Geräten einzusetzen und erfolgreich auszuführen.

Die Schwachstelle CVE-2021-3970

Bei der Untersuchung der obigen Schwachstellen in den anfälligen Treibern wurde eine dritte Schwachstelle entdeckt. Diese betrifft eine  SMM-Speicherbeschädigung innerhalb der SW SMI-Handler-Funktion (CVE-2021-3970). Diese Schwachstelle ermöglicht willkürliches Lesen/Schreiben von/auf SMRAM, was zur Ausführung von bösartigem Code mit SMM-Privilegien und möglicherweise zum Einsatz eines SPI-Flash-Implantats führen kann.

Lenovo ist informiert

Alle entdeckten Schwachstellen wurden am 11. Oktober 2021 an Lenovo gemeldet. Lenovo bestätigte die Schwachstellen am 17. November 2021 und wies die genannten CVEs zu. Insgesamt umfasst die Liste der betroffenen Geräte mehr als einhundert verschiedene Consumer-Laptop-Modelle mit Millionen von Nutzern weltweit, von erschwinglichen Modellen wie dem Ideapad-3 bis hin zu fortschrittlicheren Modellen wie dem Legion 5 Pro-16ACH6 H oder dem Yoga Slim 9-14ITL05. Die vollständige Liste der betroffenen Modelle mit aktiver Entwicklungsunterstützung ist im Lenovo Advisory veröffentlicht. Lenovo-Systeme, gefertigt ab dem 25. Februar 2022, sollen nicht mehr betroffen sein.

Zusätzlich zu den im Advisory aufgelisteten Modellen sind auch einige andere Geräte betroffen, die ESET an Lenovo gemeldet habt. Die Geräte haben aber das Supportende in der Entwicklung (EODS) erreicht und die Schwachstellen werden nicht mehr behoben. Dazu gehören Geräte wie das Ideapad 330-15IGM und das Ideapad 110-15IGR. Die Liste der EODS-Geräte, die ESET-Forscher identifizieren konnten, wird in ESETs Repository für Schwachstellenmeldungen verfügbar sein.