image

Lenovo-laptops kwetsbaar door 'per ongeluk' toegevoegde driver in BIOS-image

dinsdag 19 april 2022, 14:04 door Redactie, 17 reacties

Meer dan honderd verschillende modellen Lenovo-laptops met wereldwijd miljoenen gebruikers zijn kwetsbaar voor aanvallers omdat de fabrikant naar eigen zeggen 'per ongeluk' firmware-drivers aan de BIOS-image heeft toegevoegd. Daardoor kan een aanvaller beveiligingsmaatregelen van het SPI-flashgeheugen en de Secure Boot-feature uitschakelen, zo meldt antivirusbedrijf ESET dat de kwetsbaarheden ontdekte.

De aanval is mogelijk doordat Lenovo verschillende drivers die worden gebruikt tijdens het productieproces 'per ongeluk' aan de productie BIOS-images heeft toegevoegd. Daarnaast zijn deze drivers niet voldoende gedeactiveerd. Een aanvaller die bijvoorbeeld via malware toegang tot het systeem heeft kan deze drivers activeren en vervolgens de bescherming van het SPI-flashgeheugen uitschakelen. Ook is het mogelijk om Secure Boot uit te zetten.

Verder zou een aanvaller zo UEFI-malware in het SPI-flashgeheugen van het moederbord kunnen installeren die lastig te detecteren en verwijderen is. ESET waarschuwde Lenovo op 11 oktober vorig jaar. Gisteren kwam Lenovo met BIOS-updates en een security-advisory. Vandaag heeft ESET de details van de kwetsbaarheden (CVE-2021-3970, CVE-2021-3971 en CVE-2021-3972) openbaar gemaakt.

Reacties (17)
19-04-2022, 14:28 door Anoniem
Oh. Weer iemand betrapt. Sorry zeggen, drivers vervangen door anderen die nog niet bekend zijn en dat image 'security update' noemen. Verder business as usual.
19-04-2022, 14:29 door Anoniem
Als het in China gefabriceerde dingen zijn, dan is het enige wat hier per ongeluk aan is het uitlekken ervan.
19-04-2022, 14:36 door Anoniem
'Per ongeluk"? Hmm...

Ben benieuwd hoe lang het duurt voordat iedereen met een laptop uit de (zeer grote) lijst de heeft geupdate...

Systeembeheer zal zeker blij zijn omdat bij menig bedrijf de BIOS update alleen kan met systeemrechten.
19-04-2022, 15:11 door Anoniem
Door Anoniem: Als het in China gefabriceerde dingen zijn, dan is het enige wat hier per ongeluk aan is het uitlekken ervan.
Tja....zeker weten doe je dat niet, maar geheel ondenkbaar is het zeker niet.....
19-04-2022, 16:08 door Anoniem
Een goede reden om de vendor Windows er compleet af te pleuren en je eigen Windows install te maken: dan weet je tenminste (ongeveer) wat erop staat. Toegegeven; niet iedereen zal (denken) dit (te) kunnen (hoewel het echt niet moeiljk is).
19-04-2022, 16:26 door Anoniem
Hetzelfde soort ongelukje als die Superfish adware van ze. Allemaal ongelukjes.
19-04-2022, 16:34 door Anoniem
Door Anoniem: Een goede reden om de vendor Windows er compleet af te pleuren en je eigen Windows install te maken: dan weet je tenminste (ongeveer) wat erop staat. Toegegeven; niet iedereen zal (denken) dit (te) kunnen (hoewel het echt niet moeiljk is).
Misschien moet je even opzoeken wat een BIOS is. Hint: het zit niet in Windows.
19-04-2022, 22:08 door Anoniem
Door Anoniem:
Door Anoniem: Een goede reden om de vendor Windows er compleet af te pleuren en je eigen Windows install te maken: dan weet je tenminste (ongeveer) wat erop staat. Toegegeven; niet iedereen zal (denken) dit (te) kunnen (hoewel het echt niet moeiljk is).
Misschien moet je even opzoeken wat een BIOS is. Hint: het zit niet in Windows.

Dat zegt die volgens mij ook niet.. Maar als gebruiker van Lenovo flap, weet ik dat er fabriek af veel troep toegevoegd word aan de standaard Windows installatie, zoals een Lenovo update systeem, incl driver, die er per ongeluk aan toegevoegd zijn.. Ook ik had die troep.. Maar gelukkig draait mijn flappie al 4 jaar probleemloos XUbunte.. Geen gezeik met drivers

-HaSo
19-04-2022, 23:27 door Anoniem
Door Anoniem:
Misschien moet je even opzoeken wat een BIOS is. Hint: het zit niet in Windows.
Maar deze BIOS firmware komt wel mee met de Windows updates. Dus daar begint de ellende wel...
20-04-2022, 09:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Een goede reden om de vendor Windows er compleet af te pleuren en je eigen Windows install te maken: dan weet je tenminste (ongeveer) wat erop staat. Toegegeven; niet iedereen zal (denken) dit (te) kunnen (hoewel het echt niet moeiljk is).
Misschien moet je even opzoeken wat een BIOS is. Hint: het zit niet in Windows.

Dat zegt die volgens mij ook niet.. Maar als gebruiker van Lenovo flap, weet ik dat er fabriek af veel troep toegevoegd word aan de standaard Windows installatie, zoals een Lenovo update systeem, incl driver, die er per ongeluk aan toegevoegd zijn.. Ook ik had die troep.. Maar gelukkig draait mijn flappie al 4 jaar probleemloos XUbunte.. Geen gezeik met drivers

-HaSo

Nee, draait inderdaad super. Bij mij ook met Kubuntu. Maar ik zie nu dat de BIOS update alleen beschikbaar is als Windows 10/11 .exe. En nu?
20-04-2022, 15:29 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Een goede reden om de vendor Windows er compleet af te pleuren en je eigen Windows install te maken: dan weet je tenminste (ongeveer) wat erop staat. Toegegeven; niet iedereen zal (denken) dit (te) kunnen (hoewel het echt niet moeiljk is).
Misschien moet je even opzoeken wat een BIOS is. Hint: het zit niet in Windows.

Dat zegt die volgens mij ook niet.. Maar als gebruiker van Lenovo flap, weet ik dat er fabriek af veel troep toegevoegd word aan de standaard Windows installatie, zoals een Lenovo update systeem, incl driver, die er per ongeluk aan toegevoegd zijn.. Ook ik had die troep.. Maar gelukkig draait mijn flappie al 4 jaar probleemloos XUbunte.. Geen gezeik met drivers

-HaSo

Nee, draait inderdaad super. Bij mij ook met Kubuntu. Maar ik zie nu dat de BIOS update alleen beschikbaar is als Windows 10/11 .exe. En nu?
Zelf je drivers en firmware schrijven zoals we dat ook moesten in begin tijd van de linux kernel. Of wachten tot een bedrijf dat voor je doet. Have fun !

https://wiki.osdev.org/UEFI
https://wiki.ubuntu.com/UEFI/SecureBoot
https://wiki.ubuntu.com/UEFI/SecureBoot/Signing
20-04-2022, 17:00 door Anoniem
Nadat de door China geleverde drones hun informatie werd opgepakt door China, en doorgeleverd aan Rusland, waarbij locatiegegevens van bestuurders van drones tot doden van Oekraïense dronebestuurders leidde tijdens de Russische "vredesmissie", vraag ik mij af, wie er nog technologie uit China wil. Wens je de genocide van de Oeigoeren te sponsoren? Weet je, welke achterdeurtjes er in zitten?

https://petapixel.com/2022/03/14/dji-denies-throttling-ukrainian-army-drones-after-rumors-swirl/
20-04-2022, 18:01 door Anoniem
Ja, deze was ook al eerder in het nieuws met voorgeinstalleerde software op de harde schijf.
Wel verdacht, ik zou niet zo een merkt meer willen kopen, of als winkel verkopen.
20-04-2022, 21:29 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Een goede reden om de vendor Windows er compleet af te pleuren en je eigen Windows install te maken: dan weet je tenminste (ongeveer) wat erop staat. Toegegeven; niet iedereen zal (denken) dit (te) kunnen (hoewel het echt niet moeiljk is).
Misschien moet je even opzoeken wat een BIOS is. Hint: het zit niet in Windows.

Dat zegt die volgens mij ook niet.. Maar als gebruiker van Lenovo flap, weet ik dat er fabriek af veel troep toegevoegd word aan de standaard Windows installatie, zoals een Lenovo update systeem, incl driver, die er per ongeluk aan toegevoegd zijn.. Ook ik had die troep.. Maar gelukkig draait mijn flappie al 4 jaar probleemloos XUbunte.. Geen gezeik met drivers

-HaSo

Nee, draait inderdaad super. Bij mij ook met Kubuntu. Maar ik zie nu dat de BIOS update alleen beschikbaar is als Windows 10/11 .exe. En nu?
Zelf je drivers en firmware schrijven zoals we dat ook moesten in begin tijd van de linux kernel. Of wachten tot een bedrijf dat voor je doet. Have fun !

https://wiki.osdev.org/UEFI
https://wiki.ubuntu.com/UEFI/SecureBoot
https://wiki.ubuntu.com/UEFI/SecureBoot/Signing

Zelf een BIOS schrijven? Ik geloof niet dat je snapt waar het hier om gaat.
20-04-2022, 23:08 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Een goede reden om de vendor Windows er compleet af te pleuren en je eigen Windows install te maken: dan weet je tenminste (ongeveer) wat erop staat. Toegegeven; niet iedereen zal (denken) dit (te) kunnen (hoewel het echt niet moeiljk is).
Misschien moet je even opzoeken wat een BIOS is. Hint: het zit niet in Windows.

Dat zegt die volgens mij ook niet.. Maar als gebruiker van Lenovo flap, weet ik dat er fabriek af veel troep toegevoegd word aan de standaard Windows installatie, zoals een Lenovo update systeem, incl driver, die er per ongeluk aan toegevoegd zijn.. Ook ik had die troep.. Maar gelukkig draait mijn flappie al 4 jaar probleemloos XUbunte.. Geen gezeik met drivers

-HaSo

Nee, draait inderdaad super. Bij mij ook met Kubuntu. Maar ik zie nu dat de BIOS update alleen beschikbaar is als Windows 10/11 .exe. En nu?

Dan heb jij hem niet nodig!!

-HaSo
21-04-2022, 16:40 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Een goede reden om de vendor Windows er compleet af te pleuren en je eigen Windows install te maken: dan weet je tenminste (ongeveer) wat erop staat. Toegegeven; niet iedereen zal (denken) dit (te) kunnen (hoewel het echt niet moeiljk is).
Misschien moet je even opzoeken wat een BIOS is. Hint: het zit niet in Windows.

Dat zegt die volgens mij ook niet.. Maar als gebruiker van Lenovo flap, weet ik dat er fabriek af veel troep toegevoegd word aan de standaard Windows installatie, zoals een Lenovo update systeem, incl driver, die er per ongeluk aan toegevoegd zijn.. Ook ik had die troep.. Maar gelukkig draait mijn flappie al 4 jaar probleemloos XUbunte.. Geen gezeik met drivers

-HaSo

Nee, draait inderdaad super. Bij mij ook met Kubuntu. Maar ik zie nu dat de BIOS update alleen beschikbaar is als Windows 10/11 .exe. En nu?
Zelf je drivers en firmware schrijven zoals we dat ook moesten in begin tijd van de linux kernel. Of wachten tot een bedrijf dat voor je doet. Have fun !

https://wiki.osdev.org/UEFI
https://wiki.ubuntu.com/UEFI/SecureBoot
https://wiki.ubuntu.com/UEFI/SecureBoot/Signing

Zelf een BIOS schrijven? Ik geloof niet dat je snapt waar het hier om gaat.
Want? Dat er een Windows enviro als als poc is gebruikt wil niet zeggen dat je met UNIX, Linux based Kernel OS vrij bent van enige ellende in UEFI zolang je systeem ermee kan praten.

Het is leuk dat men denkt met Linux geen ellende hierbij te hebben maar je hebt te maken met een fabrikant die meerdere malen is betrapt op het installeren van ongein in hun firmware, software of het niet detecteren ervan. En niet alleen in laptops mind you.

Wat dacht je van HP backdoor 2018? https://www.agconnect.nl/artikel/lenovo-vindt-hp-backdoor-uit-2004-eigen-switches
Superfish nog in geheugen? https://en.wikipedia.org/wiki/Superfish

Dus als je dit merk wilt blijven gebruiken (wat echt hele domme beslissing is vanuit veiligheids oogpunt) dan kun je maar beter je eigen firmware gaan schrijven en auditten want je kan de fabrikant dus niet vertrouwen dat ze niks stoppen in de wat inprincipe een closed blackbox is.

Wij hebben in 2015 al verbod ingesteld op Lenovo in de organisatie.
Natuurlijk niet de illusie dat andere fabrikanten geen ongein hebben geintregeerd maar ze zijn wel competenter blijkbaar met het verbergen van de meuk ;)

Dus bij deze nogmaals have fun met het dumpen van of je UEFI image voor een audit of het dumpen van je Lenovo hardware bij de schroot als mitigation.
24-04-2022, 21:35 door Anoniem
Pfffffff, wat een larie.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.