Dezember 23, 2024

BNA-Germany

Folgen Sie den großen Nachrichten aus Deutschland, entdecken Sie ausgefallene Nachrichten aus Berlin und anderen Städten. Lesen Sie ausführliche Funktionen, die Ihnen helfen, die Denkweise der Deutschen zu verstehen.

Hacker können >100 Lenovo-Modelle mit nicht entfernbarer Malware infizieren. Sind Sie korrigiert?

Hacker können >100 Lenovo-Modelle mit nicht entfernbarer Malware infizieren.  Sind Sie korrigiert?
Hacker können >100 Lenovo-Modelle mit nicht entfernbarer Malware infizieren.  Sind Sie korrigiert?“/><figcaption class=

Getty Images

Lenovo hat Sicherheitsupdates für mehr als 100 Laptop-Modelle veröffentlicht, um kritische Schwachstellen zu beheben, die es fortgeschrittenen Hackern ermöglichen, heimlich bösartige Firmware zu installieren, die in einigen Fällen möglicherweise nicht entfernt oder erkannt werden kann.

Drei Schwachstellen, die mehr als eine Million Laptops betreffen, können Hackern die Möglichkeit geben, das UEFI des Computers zu modifizieren. kurz für Einheitliche erweiterte SoftwareschnittstelleUEFI ist die Software, die die Firmware eines Computers mit seinem Betriebssystem verbindet. Als erste Software, die ausgeführt wird, wenn Sie fast jedes moderne Gerät einschalten, ist es das erste Glied in der Sicherheitskette. Da UEFI in einen Flash-Chip auf der Hauptplatine eingebettet ist, ist eine Infektion schwer zu erkennen und sogar schwer zu entfernen.

Ach nein

Zwei Schwachstellen – verfolgt als CVE-2021-3971 und CVE-2021-3972 – existieren in UEFI-Firmware-Treibern, die nur für die Verwendung während des Herstellungsprozesses von Lenovo Consumer-Laptops vorgesehen sind. Lenovo-Ingenieure haben versehentlich Treiber in Produktions-BIOS-Images eingefügt, ohne sie ordnungsgemäß zu deaktivieren. Hacker können fehlerhafte Treiber ausnutzen, um Schutzmaßnahmen zu deaktivieren, einschließlich UEFI Secure Boot, BIOS-Steuerregistrierungsbits und der Protected Range-Registrierung, die in gespeichert sind serielle Terminalschnittstelle (SPI) und wurde entwickelt, um unbefugte Änderungen an der Firmware, auf der es ausgeführt wird, zu verhindern.

Nach der Entdeckung und Analyse der Schwachstellen fanden Forscher des Sicherheitsunternehmens ESET eine dritte Schwachstelle, CVE-2021-3970. Es ermöglicht Hackern, bösartige Firmware auszuführen, wenn das Gerät in den Systemverwaltungsmodus versetzt wird, ein hochprivilegierter Betriebsmodus, der normalerweise von Hardwareherstellern für die Systemverwaltung auf niedriger Ebene verwendet wird.

Trammell Hudson, ein Sicherheitsforscher, der sich auf Firmware-Hacking spezialisiert hat, sagte gegenüber Ars: „Basierend auf der Beschreibung sind dies alles gute Arten von Angriffen“ Ach nein „Für fortgeschrittene Angreifer ausreichend. „Das Umgehen von Flash-SPI-Berechtigungen ist eine sehr schlechte Sache.“

Er sagte, das Risiko könnte durch Schutzmaßnahmen wie BootGuard verringert werden, das verhindern soll, dass unbefugte Personen während des Startvorgangs bösartige Firmware ausführen. Andererseits haben Forscher in der Vergangenheit kritische Schwachstellen entdeckt, die BootGuard gefährden. Sie beinhalten dreifache Defekte Es wurde von Hudson im Jahr 2020 entdeckt, das verhinderte, dass der Schutz funktionierte, wenn der Computer aus dem Ruhemodus kam.

In den Mainstream kriechen

Sogenannte SPI-Implantate sind zwar noch selten, werden aber immer häufiger eingesetzt. Eine der größten Bedrohungen des Internets – eine als Trickbot bekannte Malware – begann im Jahr 2020 mit der Integration eines Launchers in ihre Codebasis, der es Menschen ermöglicht Schreiben Sie Firmware in fast jedes Gerät. Die einzigen anderen zwei dokumentierten Fälle von bösartiger UEFI-Firmware, die in freier Wildbahn verwendet wird, sind LOJAXdas von einer Hackergruppe der russischen Regierung geschrieben wurde, die unter verschiedenen Namen bekannt ist, darunter Sednit, Fancy Bear oder APT 28. Der zweite Fall war UEFI-Malware, die von der Sicherheitsfirma verwendet wurde Entdecken Sie Kaspersky auf den Computern diplomatischer Persönlichkeiten in Asien.

Die drei von ESET entdeckten Lenovo-Schwachstellen erfordern einen lokalen Zugriff, was bedeutet, dass der Angreifer bereits die Kontrolle über das anfällige Gerät mit uneingeschränkten Rechten haben muss. Die Barriere für diese Art des Zugriffs ist hoch und würde wahrscheinlich das Ausnutzen einer oder mehrerer anderer kritischer Schwachstellen an anderer Stelle erfordern, die den Benutzer bereits einem großen Risiko aussetzen würden.

Die Sicherheitslücken sind jedoch gefährlich, da sie anfällige Laptops mit Malware infizieren können, die weit über das hinausgeht, was normalerweise mit herkömmlicher Malware möglich ist. Lenovo hat eine Liste hier Aus über 100 betroffenen Modellen.