Werbung
Der Hersteller Lenovo hat jetzt drei Schwachstellen bekannt gegeben, die im BIOS von diversen Notebooks des Unternehmens klaffen. Auf einer separaten Supportseite sind alle betroffenen Geräte aufgelistet. Die drei Schwachstellen werden unter CVE-2021-3970 sowie CVE-2021-3971 und CVE-2021-3972 geführt. Bei der ersten genannten Sicherheitslücke handelt es sich um eine potenzielle Schwachstelle im LenovoVariable-SMI-Handler. Diese kann aufgrund unzureichender Validierung von Angreifern ausgenutzt werden, um einen lokalen Zugriff und erhöhte Rechte zu erhalten.
Eine weitere Lücke ergibt sich aufgrund eines Treibers, der normalerweise nicht im BIOS-Image enthalten sein dürfte. Dadurch lassen sich NVRAM-Variablen modifizieren. Für die dritte und letzte Schwachstelle ist ebenfalls ein Treiber verantwortlich. Dieser hätte auch bereits im Vorfeld deaktiviert werden müssen. Warum Lenovo dies aber versäumt hat, ist bis dato unklar.
Gefunden wurden die Sicherheitslücken von Forschern des Unternehmens ESET. In einem ausführlichen Blogpost gehen sie auf weitere Details ein. Dazu zählt auch, dass die Veröffentlichung bereits für den 8. Februar 2022 geplant war, aber auf Wunsch von Lenovo verschoben wurde. Der Hersteller gab hier lediglich an, Probleme bei der Entwicklung zu haben. Warum dies eine Verschiebung von fast drei Monaten zur Folge hatte, ist nicht bekannt.
Statement von Lenovo:
Update: Lenovo hat folgendes Statement veröffentlicht: "Lenovo dankt ESET dafür, dass es auf ein Problem bei Treibern aufmerksam gemacht hat, die bei einigen Consumer-Notebooks zum Einsatz kommen. Die Treiber wurden repariert, und Kunden, die das Update wie in der Lenovo-Anleitung beschrieben durchführen, sind geschützt. Lenovo begrüßt die Zusammenarbeit mit BIOS-Forschern, da wir unsere Investitionen in die BIOS-Sicherheit erhöhen, um sicherzustellen, dass unsere Produkte weiterhin die Industriestandards erfüllen oder übertreffen.“