Lenovo hat gestern einen Sicherheitshinweis herausgegeben, der heute noch einmal aktualisiert wurde. Dabei handelt es sich um drei Sicherheitslücken, die ausgenutzt werden können. Wer ein Lenovo Laptop besitzt, sollte auf der Seite mal überprüfen, ob ihr die aktuelle Firmware installiert habt.
ESET hat diese 3 Lücken schon im Oktober 2021 entdeckt und an Lenovo übermittelt. Dabei handelt es sich um 3 Lücken die Lenovo nun wie folgt aufgelistet hat.
- CVE-2021-3970: Eine potenzielle Sicherheitslücke im LenovoVariable SMI Handler kann aufgrund einer unzureichenden Validierung in einigen Lenovo Notebook-Modellen einem Angreifer mit lokalem Zugriff und erhöhten Rechten die Ausführung von beliebigem Code ermöglichen.
- CVE-2021-3971: Eine potenzielle Schwachstelle durch einen Treiber, der während älterer Herstellungsprozesse auf einigen Lenovo-Notebook-Geräten für Endverbraucher verwendet wurde und fälschlicherweise in das BIOS-Image aufgenommen wurde, könnte es einem Angreifer mit erhöhten Rechten ermöglichen, den Firmware-Schutzbereich zu ändern, indem er eine NVRAM-Variable modifiziert.
- CVE-2021-3972: Eine potenzielle Schwachstelle durch einen Treiber, der während des Herstellungsprozesses auf einigen Lenovo-Notebook-Geräten für Endverbraucher verwendet wird und fälschlicherweise nicht deaktiviert wurde, kann es einem Angreifer mit erhöhten Rechten ermöglichen, die Einstellungen für den sicheren Start durch Änderung einer NVRAM-Variable zu modifizieren.
Lenovo hat inzwischen die Liste der aktuellen Firmware für die jeweiligen Geräte aufgeführt. Einige Firmware-Updates werden zum 10.Mai.2022 erwartet. Dies aber nur für einige der Geräte. Wer sich den Beitrag von ESET einmal durchlesen möchte, findet ihn hier
Über die PR-Agentur von Lenovo bekam ich heute noch eine Mail mit diesem Statement:
“Lenovo dankt ESET dafür, dass es auf ein Problem bei Treibern aufmerksam gemacht hat, die bei einigen Consumer-Notebooks zum Einsatz kommen. Die Treiber wurden repariert, und Kunden, die das Update wie in der Lenovo-Anleitung beschrieben durchführen, sind geschützt. Lenovo begrüßt die Zusammenarbeit mit BIOS-Forschern, da wir unsere Investitionen in die BIOS-Sicherheit erhöhen, um sicherzustellen, dass unsere Produkte weiterhin die Industriestandards erfüllen oder übertreffen.”
Mein Ideapad 3 15ALC6 ist auch dabei, allerdings ist aktuell UEFI GLCN46WW, verwundbar ist es schon seit GLCN43WW nicht mehr. Ist also vermutlich weniger wild als gedacht, die Version hab ich vermutlich eh schon drauf – sicherheitshalber gucke ich aber nochmal und aktualisiere es. Wollte ich eigentlich erst mit AGEIA 1.2.0.7 wegen dem Ryzen fTPM-Fix, aber was solls
Warum sind nur Lenovo Laptops betroffen?
Gute Frage – Tipp: Jeder Hersteller passt die Firmware an die verwendete Hardware des jeweiligen Gerätes selbst an.