Lenovo: Sicherheitslücke im UEFI aktueller PCs - möglicherweise weitere Hersteller betroffen

Es gibt mal wieder eine neue schwere Sicherheitslücke, diesesmal trifft es die ThinkPad Serie von Lenovo. Ein Sicherheitsforscher namens Dmytro Oleksiuk hat sie entdeckt, mit der Lücke kann man diverse Sicherheitsmechanismen wie Secure Boot aushebeln und unter anderem auch eine modifizierte Firmware aufspielen, was bei neueren PCs eigentlich durch die Flash Write Protection verhindert werden sollte. Um die Lücke auszunutzen braucht man direkten, physikalischen Zugriff auf die Hardware, ein Angriff aus der Ferne ist nicht möglich.

Lenovo wurde durch die Veröffentlichung der Lücke unerwartet getroffen. Wie der Hersteller auf seiner Support Website mitteilte wurde die Lücke von dem Forscher veröffentlicht ohne Lenovo vorab zu informieren. Laut Lenovo stamme der Code, in dem die Lücke gefunden wurde, nicht von Lenovo selbst, sondern von einem sogenannten Independent BIOS Vendor (IBV). IBVs sind Firmen, die spezialisierte UEFI-BIOS Firmware Komponenten programmieren und an die PC Hersteller weitergeben, sie bauen ihren Code auf einem von Intel oder AMD stammenden Basis Code auf. Dies sei übliche Praxis in der Industrie, so Lenovo, man arbeite mit den drei größten IBVs zusammen.

Der Sinn und Zweck des verwundbaren Codes ist Lenovo selbst unklar. Man arbeite intensiv mit Intel und den IBVs zusammen um eventuell weitere Lücken ausfindig zu machen, und um zu klären, wer diesen Code programmiert hat und was sein Zweck ist. Laut dem chinesischen Hersteller betrifft diese Lücke nicht nur die eigenen PCs, sondern womöglich die gesamte Industrie, da die Lücke wie schon erwähnt in dem IBV Code ist, der vermutlich auch an andere Hersteller ausgeliefert wurde. Momentan ist der Umfang der Lücke noch unklar.

Quelle(n)