Lenovo-Notebooks: Sicherheitslücken in System-Update Tool & UEFIs entdeckt

Painkiller

Moderator
Teammitglied
Moin :kaffee:

wie Heise Security und andere Websiten melden, sind hunderte Lenovo Notebook-Modelle (u.a. Lenovo Legion, Yoga, Idea Pads etc.) von einer kritischen Sicherheitslücke im hauseigenen System-Update Tool betroffen. Mit dem Tool aktualisiert man bei Lenovo-Geräten BIOS, Treiber, Firmware und diverse Anwendungen. Code des Tools ist ebenfalls in Lenovo Vantage, Commerical Vantage und Thin Installer im Einsatz.

Die Sicherheitslücke trägt die CVE-Nummer 2022-0354 und ist mit der Bedrohungsstufe "Hoch" versehen worden. Die Lücke ermöglicht es, einem lokalen Benutzer mit interaktivem Systemzugriff Code mit erhöhten Rechten auszuführen, und zwar nur während der Installation eines System Update-Pakets, das vor dem 25.02.2022 veröffentlicht wurde und ein Eingabeaufforderungsfenster anzeigt. System-Update-Pakete mit einem Veröffentlichungsdatum nach dem 25.02.2022 sind nicht betroffen.

Desweiteren hat Lenovo zahlreiche BIOS/UEFI-Updates veröffentlicht mit denen mehrere Sicherheitslücken beseitigt werden. Die Lücken welche eigentlich Lenovo-eigene Backdoors sind, tragen die CVE-Nummern 2022-1107, CVE-2022-1108, CVE-2021-3970, CVE-2021-3971 und CVE-2021-3972. Durch diese Lücken ist es möglich eigenen Code auszuführen oder den Sercure-Boot Schutz zu deaktiveren. D.h. neben der Installation von Malware ist auch die Speicherbeschädigung und das Auslesen von Daten möglich. Die genannten CVEs haben die Bedrohungsstufe "Mittel" erhalten.

Laut ESET wurden die Sicherheitslücken im Oktober 2021 an Lenovo gemeldet. Die Backdoors sollten eigentlich nur während der Fertigung genutzt und anschließend gelöscht werden. Leider wurden sie aber in diverse BIOS/UEFI-Images übertragen. D.h. viele Geräte wurden mit dieser Lücke auch Neu ausgeliefert.

Empfehlung:
Allen Lenovo-Usern wird daher empfohlen, das System-Update Tool, Lenovo Vantage, Commercial Vantage und Thin Installier zu aktualisieren. Lenovo Vantage lässt sich komfortabel über den Microsoft Store aktualisieren. Neue Versionen stehen seit dem 1. April bereit.

Ebenfalls wird natürlich empfohlen, über diese Tools anschließend BIOS/UEFI, Treiber, Firmware und diverse Anwendungen sofort zu aktualisieren.

Wichtiger Hinweis für Besitzer von Lenovo Ideapad 330-15IGM und Ideapad 110-15IGR Geräten:
Auf diesen Geräten werden diese BIOS/UEFI-Lücken nicht mehr gepatcht, da die Geräte laut Lenovo EOL, also End of Life sind.

Gruß
Pain

Quellen:
 
Oben Unten