Eine kritische Sicherheitslücke im UEFI Treiber von Lenovo ThinkPad Notebooks ermöglicht die Aushebelung von Secure Boot und anderen Sicherheits-Features von Windows. Laut Lenovo sind aber nicht nur die ThinkPads betroffen, sondern auch Geräte anderer Hersteller.
Erneut sind Informationen über eine Sicherheitslücke publiziert worden, die einen größeren Windows-Hersteller betreffen. Diesmal ist es wieder einmal Lenovo und es betrifft lediglich die Lenovo ThinkPad-Geräte, welche vorrangig für Businesskunden gedacht sind.
Der Sicherheitsforscher Dmytro Oleksiuk eine Sicherheitslücke im UEFI Treiber von ThinkPad-Geräten ermöglicht Angreifern, Code im System Management Modus auszuführen. Mithilfe eines Tools namens ThinkPwn können potenzielle Angreifer Secure Boot deaktivieren und so beispielsweise Rootkits installieren. Es können somit Windows Sicherheits-Features deaktiviert werden und so können selbst Unternehmensdaten aus Credential Guard entwendet werden.
Der Angreifer benötigt in diesem Fall aber physikalischen Zugang zur Maschine und muss in der Lage sein, die UEFI-Datei im BIOS zu booten. Entsprechend könnte man sich prinzipiell recht einfach durch ein BIOS-Passwort schützen. Es ist eher unwahrscheinlich, dass ein Angreifer eine solche Methode nutzt, meinte Oleksiuk.
Backdoor oder nicht?
Der Forscher, der diese Sicherheitslücke entdeckt hat, stellt aber auch die Frage in den Raum, ob es sich hierbei um einen Backdoor, spricht eine absichtlich implementierte Lücke handelt oder nicht. Dagegen spricht zwar, dass diese Funktion keiner anderen in der Firmware ähnlich sieht, dafür jedoch die Tatsache, dass sie aus technischer Sicht einfach keinen anderen Sinn hat als angreifbar zu sein.
Lenovo: Fehler betrifft auch andere
Bislang gibt es noch keinen Patch für diese Sicherheitslücke und es ist auch schwer abzuschätzen, welche Lenovo ThinkPad-Modelle genau davon betroffen sind. Laut dem Sicherheitsforscher sind viele Modelle angreifbar, darunter auch die neusten ThinkPads des chinesischen Herstellers. Man sollte davon ausgehen, dass es alle Geräte betrifft.
Es könnte aber auch andere Hersteller betreffen, denn laut Lenovo stammt der Code von einem BIOS Hersteller, der im Auftrag des Unternehmens agiert. Der chinesische Hersteller arbeitet mit den drei größten Herstellern der Welt, womöglich haben also auch andere OEMs diese Lücke in ihrem Systemen implementiert. Lenovo hat mit Bekanntwerden des Problems eigene Schritte eingeleitet, die Lücke zu schließen und „den ursprünglichen Zweck des angreifbaren Codes“ herauszufinden. Offenbar ist man sich selbst nicht sicher, ob es sich hierbei nicht um einen Backdoor handelt.
Sobald weitere Informationen zur Verfügung stehen, werden wir euch jedenfalls darüber informieren. Bislang ist bis auf die Beschreibung und die Aussendung von Lenovo aber nichts bekannt.
