© wabeno / 123RF.com
Ein Fehler in der UEFI-Firmware von Phoenix Technologies macht PCs mit Intel-CPU anfällig für Angriffe. Das betrifft insbesondere Lenovo-Geräte.
Als moderner Ersatz für das BIOS steuert die System-Firmware UEFI (Unified Extensible Firmware Interface) heute den Start vieler Rechner. Daneben bietet UEFI über den System Management Mode (SMM) auch eine fortlaufende Verwaltung des Geräts unterhalb des Betriebssystems zur Laufzeit.
UEFI fungiert als Schnittstelle zwischen der Firmware eines Computers und seinem Betriebssystem. Es ermöglicht schnelles Booten, bietet eine grafische Benutzeroberfläche und unterstützt größere Festplatten über 2 TByte Kapazität. Es bietet erweiterte Sicherheitsfunktionen wie Secure Boot, was bewirkt, dass beim Start nur vertrauenswürdige Software geladen werden kann. Zudem ist UEFI modular und erweiterbar, sodass es sich leicht um neue Funktionen und Treiber ergänzen lässt. Es unterstützt obendrein Netzwerkfunktionen, was Ferndiagnosen und Remote-Reparaturen erleichtert. Das macht UEFI effizienter und vielseitiger als das alte BIOS.
UEFI ist der erste Code, den der Rechner beim Systemstart ausführt, und der am meisten privilegierte. Diese Eigenschaften machen es zu einem Hauptziel für Angreifer. Firmware-Implantate und Hintertüren wie BlackLotus, CosmicStrand und MosaicRegressor kommen immer häufiger vor. Über diese Art von Attacken stellen Angreifer sicher, dass ihr Schadcode die eingebauten Schutz- und Sicherheitswerkzeuge unterlaufen kann, die das Betriebssystem und höhere Schichten implementieren. So kann die Malware nicht nur direkt Schaden anrichten, sondern auch dauerhaft unbemerkt auf einem kompromittierten Gerät präsent bleiben.
Eine jetzt entdeckte Schwachstelle [1] in der SecureCore-UEFI-Firmware von Phoenix ermöglicht es Angreifern, Schadcode auf betroffenen PCs auszuführen. Der Fehler tritt im Trusted Platform Module (TPM) auf, einem Mikrochip auf dem Motherboard eines Computers, der der Sicherung von Hardware dient. Es speichert kryptografische Schlüssel, schützt vor Malware und unterstützt die Geräteauthentifizierung. TPM ermöglicht sichere Boot-Vorgänge, Integritätsprüfungen und den Datenschutz durch Verschlüsselung. Forscher identifizierten die nun entdeckte Sicherheitslücke auf Lenovo-Laptops der Modelle ThinkPad X1 Carbon 7th Gen und X1 Yoga 4th Gen mit Intel-CPUs. Phoenix bestätigte im Mai 2024, dass die Schwachstelle Geräte mit Intel-Prozessoren der Serien “Alder Lake”, “Coffee Lake”, “Comet Lake”, “Ice Lake”, “Jasper Lake”, “Kaby Lake”, “Meteor Lake”, “Raptor Lake”, “Rocket Lake” und “Tiger Lake” betrifft.
Um die Schwachstelle auszunutzen, muss ein lokaler Angreifer die verwundbare Variable »TCG2_CONFIGURATION« manipulieren, die aufgrund einer fehlerhaften Programmierung nicht korrekt verifiziert wird. Dadurch kann der Angreifer einen Speicherfehler verursachen und eigenen Code ausführen. Wer sich noch vor dem Start des Betriebssystems im Rechner einnisten kann, hat beispielsweise die Chance, unbemerkt von Virenscannern zu operieren. Die Schwachstelle beruht auf einem unsicheren Aufruf des UEFI-Diensts »GetVariable«. Es erfolgen zwei Aufrufe von »GetVariable« mit dem Argument »TCG2_CONFIGURATION« und derselben »data_size«, ohne angemessene Überprüfungen dazwischen. Da der Angreifer den Wert der UEFI-Variablen »TCG2_CONFIGURATION« zur Laufzeit des Systems zu ändern vermag, kann er ihn auf einen sehr langen Wert setzen. Der erste Aufruf von »GetVariable« gibt dann »EFI_BUFFER_TOO_SMALL« zurück und setzt »data_size« auf die Länge der UEFI-Variablen. Der zweite Aufruf überschreibt dann den Puffer und verursacht einen Pufferüberlauf.
UEFI-Firmware spielt oft eine entscheidende Rolle in Technologie-Lieferketten. Ihre Entwicklung ist eine komplexe und spezialisierte Fertigungstechnik, weshalb OEMs wie Lenovo ihre Firmware oft von Drittanbietern beziehen. Das bedeutet jedoch auch, dass jede Schwachstelle bei einem Lieferanten in der Lieferkette potenziell viele verschiedene Produkte und Hersteller betreffen kann. Im konkreten Fall könnte jeder Hersteller betroffen sein, der die im CVE genannten Versionen der Phoenix-Firmware verwendet.
Die Schwachstelle veranschaulicht zwei charakteristische Merkmale von Vorfällen in der Lieferkette: hohe Auswirkung und große Reichweite. Die UEFI-Firmware gehört zu den empfindlichsten Softwarekomponenten des Systems, denn jede Kompromittierung kann Angreifern volle Kontrolle und Persistenz verschaffen.
