UEFI-Firmware: Lenovo warnt vor drei Sicherheitslücken

Sven Bauduin
39 Kommentare
UEFI-Firmware: Lenovo warnt vor drei Sicherheitslücken
Bild: Lenovo

Lenovo hat einen Sicherheitshinweis für drei Schwachstellen in seiner UEFI-Firmware herausgegeben, die rund einhundert Notebooks des Herstellers betreffen sollen. Die Sicherheitsexperten von ESET hatten Lenovo bereits im Oktober 2021 auf diese Sicherheitslücken aufmerksam gemacht, jetzt stehen erste Updates bereit.

Der aktuelle Security Advisory Report „Lenovo Notebook BIOS Vulnerabilities“ führt die drei Sicherheitslücken CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972 auf und empfiehlt betroffenen Anwendern daher, die UEFI-Firmware ihres Notebooks umgehend zu aktualisieren.

Schwachstelle bedroht rund 100 Modelle

Eine Liste der rund einhundert betroffenen Modelle und der dazugehörigen Firmware hat der Hersteller ebenfalls bereits über seinen Support veröffentlicht.

Über die Schwachstellen angreifbar sind zahlreiche Notebooks der Serien Yoga, IdeaPad und Legion.

  • CVE-2021-3970: Eine potenzielle Sicherheitslücke im LenovoVariable SMI Handler kann aufgrund einer unzureichenden Validierung in einigen Lenovo Notebook-Modellen einem Angreifer mit lokalem Zugriff und erhöhten Rechten die Ausführung von beliebigem Code ermöglichen.
  • CVE-2021-3971: Eine potenzielle Schwachstelle durch einen Treiber, der während älterer Herstellungsprozesse auf einigen Lenovo-Notebook-Geräten für Endverbraucher verwendet und fälschlicherweise in das BIOS-Image aufgenommen wurde, könnte es einem Angreifer mit erhöhten Rechten ermöglichen, den Firmware-Schutzbereich zu ändern, indem er eine NVRAM-Variable modifiziert.
  • CVE-2021-3972: Eine potenzielle Schwachstelle durch einen Treiber, der während des Herstellungsprozesses auf einigen Lenovo-Notebook-Geräten für Endverbraucher verwendet wird und fälschlicherweise nicht deaktiviert wurde, kann es einem Angreifer mit erhöhten Rechten ermöglichen, die Einstellungen für den sicheren Start durch Änderung einer NVRAM-Variable zu modifizieren.

Anwender müssen sich gedulden

Derweil können noch nicht alle betroffenen Notebook-Modelle unmittelbar mit einem Update der UEFI-Firmware rechnen und werden voraussichtlich erst am 10. Mai von Lenovo mit einer neuen BIOS-/UEFI-Version versorgt werden, wie aus der Dokumentation des Supports hervorgeht.

Eine noch ausführlichere Beschreibung der Sicherheitslücken und deren Gefahrenpotential liefert der ausführliche Bericht mit dem Titel „When “secure” isn’t secure at all: High‑impact UEFI vulnerabilities discovered in Lenovo consumer laptops“ von ESET.

Durch die Schwachstellen soll unter anderem eine Rechteausweitung sowie ein Befall von Malware auf Ebene der Firmware möglich sein, so die Sicherheitsexperten. Wer ein Notebook von Lenovo besitzt, sollte die Support-Dokumente prüfen und das Update bei entsprechender Verfügbarkeit umgehend installieren.

25 Jahre ComputerBase!
Im Podcast erinnern sich Frank, Steffen und Jan daran, wie im Jahr 1999 alles begann.