[English]Hinweis für Blog-Leser und -Leserinnen, die Notebooks von Lenovo (und IBM) verwenden. Sicherheitsforscher von ESET haben gravierenden Schwachstellen in der UEFI-Firmware von Lenovo Notebooks gefunden, die eine Übernahme des Betriebssystems in der frühen Boot-Phase ermöglicht. Lenovo hat eine Sicherheitsmeldung herausgegeben, die über 70 Notebook-Modelle (auch ThinkBook) als betroffen auflistet.
Anzeige
ESET findet Schwachstelle
Vom Sicherheitsanbieter ESET sind mir eine Reihe Tweets bekannt, in denen deren Sicherheitsforscher auf das Problem aufmerksam machen. Die Sicherheitsforscher sind auf gleich drei Pufferüberlauf-Schwachstellen in der UEFI-Firmware mehrerer Lenovo-Notebook-Geräte gestoßen. Betroffen sind mehr als 70 verschiedene Modelle, darunter mehrere ThinkBook-Modelle.
Lenovo bietet Firmware-Upgrade an
Nachdem ESET die Schwachstellen an Lenovo gemeldet hat, begann der Hersteller mit der Entwicklung eines Patches und hat Details verraten. Bei den Schwachstellen handelt es sich laut diesem Lenovo-Hinweis um folgende:
- CVE-2022-1890: Es wurde ein Pufferüberlauf im ReadyBootDxe-Treiber in einigen Lenovo-Notebook-Produkten entdeckt, der einem Angreifer mit lokalen Rechten die Ausführung von beliebigem Code ermöglichen könnte. .
- CVE-2022-1891: In einigen Lenovo-Notebook-Produkten wurde ein Pufferüberlauf im SystemLoadDefaultDxe-Treiber entdeckt, der einem Angreifer mit lokalen Rechten die Ausführung von beliebigem Code ermöglichen könnte.
- CVE-2022-1892: In einigen Lenovo-Notebook-Produkten wurde ein Pufferüberlauf im SystemBootManagerDxe-Treiber entdeckt, der einem Angreifer mit lokalen Rechten die Ausführung von beliebigem Code ermöglichen könnte.
Zum Glück benötigt ein Angreifer lokale Rechte zur Ausführung, um beliebigen Code in der Boot-Phase ausführen zu können. Lenovo fordert die Kunden zur Aktualisierung der System-Firmware der betroffenen Modelle auf. Firmware-Updates für das UEFI gibt es für die betroffenen Geräte auf den Supportseiten des Herstellers:
Anzeige
- Lenovo Products (sold worldwide, except in China): https://support.lenovo.com/
- Lenovo Products (sold in China): https://newsupport.lenovo.com.cn/
- IBM-branded System x Legacy Products: https://www.ibm.com/support/fixcentral/
Dort ist nach dem vorhandenen Lenovo Notebook-Modell zu suchen und ein geeignetes Firmware-Update zur Aktualisierung herunterzuladen und zu installieren. Eine Liste der Geräte (Yoga, IdeaPad, Flex, ThinkBook, V14, V15, V130, Slim, S145) samt Hinweisen, von welcher Schwachstelle diese betroffen sind, findet sich in diesem Lenovo Sicherheitshinweis. (via)
Anzeige
Ich habe bisher gute Erfahrung mit "Lenovo Vantage" bzw. "Lenovo Commercial Vantage" gemacht. Das ist auch für nicht allzu IT-affine Leute gut zu handhaben (man muss nur sagen "guck da mal wieder rein und installier die Updates").
Ein weiteres nettes Feature: Man kann dort einstellen, wie der Akku geladen wird (empfohlen: Ladestart bei 50%, Ladeende bei 60% – falls mal nötig, kann man den Akku auch mal vollladen lassen).
Wir haben seit dem 14.07. das Problem, das die USB Anschlüsse der Lenovo Dockingstationen nicht mehr richtig funktionieren.
Die Geräte werden nach kurzer Zeit "getrennt" und neu verbunden, im Geräte-Manager erscheinen daraufhin verschiedenste Fehlermeldungen wie z.B.
"Fehler beim Zurücksetzen des Ports"
"Fehler beim Anfordern einer Geräte-Beschreibung"
oder
"Fehler bei einer Anforderung des USB-Gerätedeskriptors"
Das Problem tritt folgender Hardware auf:
Lenovo ThinkPad T15 + Thinkpad USB-C Dock
Bisher sind nicht alle eingesetzten T15-Systeme davon betroffen, wir befürchten allerdings das die anderen demnächst die gleichen Probleme bekommen werden…
In den Lenovo Foren gibt es zumindest noch andere Personen, die davon betroffen sind:
Hat jemand aus dem Forum ein ähnliches Problem und dafür eine Lösung parat?
Wir sind schon langsam am Verzweifeln…
Hallo Wuschki,
das muss am realtek audio treiber 6.0.9354.1 liegen. Diesen habe ich gestern über den Lenovo System updater installiert. Ich verwende ein Lenovo P14s Gen 2 Type 20VX. Zwei weitere User haben das ebenso bereits installiert und Probleme, wenn Audioein-und-Ausgabegeräte wie z.B. Jabra Konferenzlautsprecher oder Plantronics Lautsprecher über die Dockingstation angeschlossen werden. Nach nicht mal 1-2 Minuten wird das ganze Gerät unnutzbar. Hardreset ist die einzige Möglichkeit..
Scheinbar klappt es allerdings beim Direktanstecken über den Laptop.
Ich probiere gleich mal die vorherige Version des Realtek Treibers 6.0.9334.1
Hallo Nik,
Hat es damit funktioniert?
Bei uns fallen jetzt nach und nach die anderen Systeme aus… eine Neuinstallation hilft zwar, ist bei der Menge an Systemen keine wirkliche Option.
Lenovo geht inzwischen dreist vor. Auf neuen Laptops ist ein Chip von Microschrott wo verhindert Linux zu installieren! Die Laptops sind Schrott wenn sie von Windows nicht mehr unterstützt werden. Eine solche Sauerei darf man nicht unterstützen!
Hatten die Kollegen von heise in in diesem Artikel die Tage beleuchtet.