Technology

Hacker können > 100 Lenovo-Modelle mit nicht entfernbarer Malware infizieren. Bist du gepatcht?

100 Lenovo-Modelle mit nicht entfernbarer Malware infizieren. Bist du gepatcht?”/>

Getty Images

Lenovo hat Sicherheitsupdates für mehr als 100 Laptop-Modelle veröffentlicht, um kritische Schwachstellen zu beheben, die es fortgeschrittenen Hackern ermöglichen, heimlich bösartige Firmware zu installieren, die nahezu unmöglich zu entfernen oder in einigen Fällen zu erkennen ist.

Drei Schwachstellen, die mehr als 1 Million Laptops betreffen, können Hackern die Möglichkeit geben, das UEFI eines Computers zu ändern. Kurz für Einheitliche erweiterbare Firmware-Schnittstelle, das UEFI ist die Software, die die Gerätefirmware eines Computers mit seinem Betriebssystem verbindet. Als erste Software, die ausgeführt wird, wenn praktisch jede moderne Maschine eingeschaltet wird, ist sie das erste Glied in der Sicherheitskette. Da sich UEFI in einem Flash-Chip auf der Hauptplatine befindet, sind Infektionen schwer zu erkennen und noch schwieriger zu entfernen.

Ach nein

Zwei der Schwachstellen – verfolgt als CVE-2021-3971 und CVE-2021-3972 – befinden sich in UEFI-Firmware-Treibern, die nur für die Verwendung während des Herstellungsprozesses von Lenovo Consumer-Notebooks vorgesehen sind. Die Lenovo-Ingenieure haben die Treiber versehentlich in die Produktions-BIOS-Images eingefügt, ohne ordnungsgemäß deaktiviert zu werden. Hacker können diese fehlerhaften Treiber ausnutzen, um Schutzmaßnahmen zu deaktivieren, einschließlich UEFI Secure Boot, BIOS-Steuerregisterbits und Register für geschützte Bereiche, die in die Serielle Peripherieschnittstelle (SPI) und wurde entwickelt, um unbefugte Änderungen an der darauf ausgeführten Firmware zu verhindern.

Nach der Entdeckung und Analyse der Schwachstellen fanden Forscher der Sicherheitsfirma ESET eine dritte Schwachstelle, CVE-2021-3970. Es ermöglicht Hackern, bösartige Firmware auszuführen, wenn ein Computer in den Systemverwaltungsmodus versetzt wird, einen Betriebsmodus mit hohen Privilegien, der normalerweise von Hardwareherstellern für die Systemverwaltung auf niedriger Ebene verwendet wird.

„Basierend auf der Beschreibung sind das alles ziemliche ‚Oh nein‘-Arten von Angriffen für ausreichend fortgeschrittene Angreifer“, sagte Trammel Hudson, ein auf Firmware-Hacks spezialisierter Sicherheitsforscher, gegenüber Ars. “Das Umgehen von SPI-Flash-Berechtigungen ist ziemlich schlecht.”

Er sagte, der Schweregrad könne durch Schutzmaßnahmen wie BootGuard verringert werden, das verhindern soll, dass unbefugte Personen während des Startvorgangs bösartige Firmware ausführen. Andererseits haben Forscher in der Vergangenheit kritische Schwachstellen aufgedeckt, die BootGuard untergraben. Dazu gehören a Trio von Fehlern von Hudson im Jahr 2020 entdeckt, der verhinderte, dass der Schutz funktionierte, wenn ein Computer aus dem Energiesparmodus kam.

Einschleichen in den Mainstream

Obwohl immer noch selten, werden sogenannte SPI-Implantate immer häufiger. Eine der größten Bedrohungen des Internets – eine als Trickbot bekannte Malware – begann 2020 damit, einen Treiber in ihre Codebasis zu integrieren, der es Menschen ermöglicht Schreiben Sie Firmware in praktisch jedes Gerät. Die einzigen zwei anderen dokumentierten Fälle von bösartiger UEFI-Firmware, die in freier Wildbahn verwendet wird, sind LoJaxdas von der russischen staatlichen Hackergruppe geschrieben wurde, die unter mehreren Namen bekannt ist, darunter Sednit, Fancy Bear oder APT 28. Die zweite Instanz war UEFI-Malware dieser Sicherheitsfirma Kaspersky auf Computern von Diplomaten in Asien entdeckt.

Alle drei von ESET entdeckten Lenovo-Schwachstellen erfordern lokalen Zugriff, was bedeutet, dass der Angreifer bereits die Kontrolle über den anfälligen Computer mit uneingeschränkten Rechten haben muss. Die Hürde für diese Art von Zugriff ist hoch und würde wahrscheinlich das Ausnutzen einer oder mehrerer kritischer anderer Schwachstellen an anderer Stelle erfordern, die einen Benutzer bereits einem erheblichen Risiko aussetzen würden.

Dennoch sind die Schwachstellen schwerwiegend, da sie anfällige Laptops mit Malware infizieren können, die weit über das hinausgeht, was normalerweise mit herkömmlicher Malware möglich ist. Lenovo hat eine Liste hier von mehr als 100 betroffenen Modellen.

About the author

admin

Leave a Comment