Produkte
04.07.2016

Zero-Day-Sicherheitslücke gefährdet Lenovo-Notebooks

Durch eine schwerwiegende Zero-Day-Lücke in der Firmware von Lenovos Thinkpads kann unter Umständen beliebiger Programmcode auf dem System ausgeführt werden.

Eine ganze Reihe von Lenovos Thinkpad-Notebooks ist von einer ungepatchten BIOS-Schwachstelle betroffen. Konkret befindet sich die Lücke in einem Treiber für die vereinheitlichte erweiterbare Firmware-Schnittstelle (UEFI). Lenovo hat die Sicherheitslücke bereits bestätigt und erklärt, gemeinsam mit BIOS-Herstellern und Chip-Hersteller Intel an einer Lösung zu arbeiten. Der Blogger Cr4sh, der die Lücke entdeckt hat, nennt sie Thinkpwn.

Besitzt jemand einen lokalen Administratorenzugang, so ist es möglich durch Thinkpwn beliebigen Programmcode in das System einzuschleusen und auszuführen. Dabei ist es möglich, dass der Code über den System Management Mode (SMM) im BIOS direkt auf die Hardwarekomponenten zugreift.

Angeblich ist für die Lücke nicht Lenovo selbst, sondern ein Drittanbieter verantwortlich. Dadurch könnte sich die Schwachstelle zu einem industrieweiten ausweiten, da auch andere Hersteller auf die Dienste des Zulieferers setzen. Einziger Trost: Um die Lücke auszunützen, sei physischer Zugang zum Gerät notwendig.

Backdoor oder Lücke?

Außerdem stellt der Blogger Cr4sh die Frage in den Raum, ob es sich bei Thinkpwn überhaupt um eine Sicherheitslücke oder gar um eine absichtlich eingebaute Backdoor handelt. Grund für diese Annahme liefert die Tatsache, dass der fehlerhafte Code keinerlei sinnvolle Funktion darstelle. Ob die Lücke oder eben die Hintertür bereits ausgenützt wurde, ist nicht bekannt.

Die Angelegenheit weckt Erinnerungen an Superfish. Dabei stand Lenovo 2015 wegen einer ähnlich schwerwiegenden Lücke in der Kritik.