Update-Software auf Lenovo-Computern öffnet Tür für Angreifer

Im Service-Tool zum einfachen Download von etwa Treibern für verschiedene Lenovo-Computer sollen gefährliche Sicherheitslücken klaffen. Angreifer könnten darüber Malware in das System einschleusen.

In Pocket speichern vorlesen Druckansicht 32 Kommentare lesen
IdeaCentre Horizon

(Bild: Lenovo)

Lesezeit: 2 Min.

Eigentlich soll der System-Update-Service auf Computern von Lenovo dem Nutzer Arbeit abnehmen und neben aktuellen Treiber auch Sicherheits-Updates einspielen. Nun wird das Service-Tool aber selbst zur Sicherheitslücke und Angreifer könnten über mehrere Wege Schadcode in die Systeme schmuggeln. Das haben die Forscher Michael Milvich und Sofiane Talmat der Sicherheitsberater von IOActive herausgefunden.

Laut Lenovo sind folgende Computer-Serien betroffen:

  • Alle ThinkPad-Modelle
  • Alle ThinkCentre-Modelle
  • Alle ThinkStation-Modelle
  • Lenovo V/B/K/E Series

Milvich und Talmat zufolge ist die Version 5.6.0.27 und früher des Lenovo-Update-Services angreifbar. Die Schwachstellen haben die Forscher bereits im Februar dieses Jahres gefunden. Mittlerweile hat Lenovo ein Update veröffentlicht, das die Sicherheitslücken stopfen soll. Verwundbare Versionen sollen Betroffene in Form einer Meldung auf das Update hinweisen und es dann automatisch installieren. Nutzer können den Patch auch selbst einspielen.

Über die Schwachstelle CVE-2015-2233 könnten Hacker die Signatur-Prüfung umgehen und so Anwendungen von Lenovo mit Malware ersetzen, berichten die Sicherheitsforscher. Über zwei weitere Lücken (CVE-2015-2219 und CVE-2015-2234) könnten sich Angreifer Admin-Rechte verschaffen und so Schad-Programme ausführen.

Dafür müssten sich Angreifer aber als Man in the Middle in eine bestehende Verbindung einklinken. Das ist in einem öffentlichen WLAN, etwa in einem Internet-Café, durchaus vorstellbar, aber auch dort mit einigem Aufwand verbunden. Für eine Attacke in den eigenen vier Wänden müsste sich der Angreifer erst mal Zugang zum Router verschaffen.

Lenovo machte zuletzt im Februar dieses Jahres Schlagzeilen, als herauskam, dass sie Laptops mit der vorinstallierten Adware Superfish ausgeliefert haben. Diese war aber nicht nur lästig sondern auch gefährlich, denn Angreifer konnten sich aufgrund eines Zertifikats-Problems mit einer beliebigen Identität gegenüber Lenovo-Besitzern ausweisen.


[UPDATE, 07.05.2015 11:20 Uhr]

Beschreibung des Update-Vorgangs angepasst. (des)