Millionen Nutzer betroffen Gravierende Sicherheitslücken bei Lenovo-Laptops entdeckt

Cyberexperten haben bei Lenovo-Computern gravierende Sicherheitslücken entdeckt. Insgesamt sind Millionen Nutzer weltweit betroffen. Was jetzt zu tun ist.
Experten des IT-Sicherheitsunternehmens ESET haben drei gravierende Sicherheitslücken bei Laptops des chinesischen Technologiekonzerns Lenovo entdeckt. Diese betreffen über hundert verschiedene Laptop-Modelle, die in Millionen Haushalten weltweit genutzt werden.
Betroffen sind von Einsteigergeräten bis hin zu High-End-Produkten fast alle gängigen Modelle des Herstellers. Eine vollständige Liste der betroffenen Geräte findet sich auf der entsprechenden Lenovo-Webseite.
Schädlicher Code kann auf betroffene Geräte aufgespielt werden
Zwei der entdeckten Schwachstellen betreffen UEFI-Firmware-Treiber, wie die Experten näher berichten. Hierbei handelt es sich um sogenannte "Backdoors", durch die sich Angreifer Zugriff auf das betroffene Gerät verschaffen und schadhaften Code einschleusen oder den Computer fremdsteuern können.
Grundsätzlich sind diese Backdoors nur während des Fertigungsprozesses zugänglich, durch einen Fehler wurde diese jedoch auf das fertige Computersystem übertragen und im Anschluss an Kunden auf der ganzen Welt ausgeliefert.
Eine weitere entdeckte Sicherheitslücke, von den ESET-Forschern als SMM-Speicherbeschädigung bezeichnet, ermöglicht beliebiges Lesen und Schreiben von und auf den SMRAM (System Management RAM). Diese Schwachstelle kann ebenfalls zum Ausführen bösartiger Codes missbraucht werden.
Firmware-Update zwingend notwendig
Wie die Forscher von ESET weiter ausführen, können UEFI-Bedrohungen extrem unauffällig und gefährlich sein. Da sie sehr früh während des Startprozesses eines Rechners ausgeführt werden, können sie auch fast alle Sicherheitsmaßnahmen umgehen.
Allen betroffenen Nutzern raten die Sicherheitsexperten, umgehend die neueste Firmware auf ihren Geräten zu installieren. Wie das funktioniert, erklärt Lenovo auf der entsprechenden Internetseite.
Die Schwachstellen wurden von ESET bereits am 11. Oktober 2021 an Lenovo gemeldet. Das Unternehmen bedankte sich in einem offiziellen Statement bei allen Expertinnen und Experten die dazu beitragen, ihre Produkte sicherer zu machen:
"Lenovo dankt ESET dafür, dass es auf ein Problem bei Treibern aufmerksam gemacht hat, die bei [...] Consumer-Notebooks zum Einsatz kommen. Die Treiber wurden repariert, und Kunden, die das Update wie in der Lenovo-Anleitung beschrieben durchführen, sind geschützt."
Hinweis: Artikel wurde um ein offizielles Lenovo-Statement am 21.04.2022 ergänzt.