Alert!

PCs mit Intel-Prozessoren: UEFI-Sicherheitslücke lässt Schadcode passieren

Aufgrund eines Fehlers in der UEFI-Firmware von Phoenix können Angreifer Computer attackieren. Davon sind unter anderem Lenovo-Geräte mit Intel-CPU betroffen.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
Eine Person sitzt am Computer

(Bild: Thapana_Studio/Shutterstock.com)

Lesezeit: 2 Min.

Sicherheitsforscher von Eclypsium sind auf eine Schwachstelle in der SecureCore-UEFI-Firmware von Phoenix gestoßen, über die Angreifer PCs mit Schadcode infizieren können. Davon sind ihnen zufolge ausschließlich bestimmte Geräte mit Intel-Prozessoren verschiedener Generationen bedroht.

In einem Beitrag führen sie aus, dass die Lücke (CVE-2024-0762 „hoch“) eine Variable im Kontext des Trusted Platform Module (TPM) tangiert. Weil die Schwachstelle den UEFI-Code zur TPM-Konfiguration betrifft, könne der Sicherheitschip in diesem Fall keinen Schutz leisten.

Die Forscher geben an, die Sicherheitslücke in den Lenovo-Laptops ThinkPad X1 Carbon 7th Gen und X1 Yoga 4th Gen mit Intel-CPUs entdeckt zu haben. Im Mai 2024 hat Phoenix die Schwachstelle bestätigt und mitgeteilt, dass davon die Intel-Prozessoren der Serien AlderLake, CoffeeLake, CometLake, IceLake, JasperLake, KabyLake, MeteorLake, RaptorLake, RocketLake, und TigerLake betroffen sind.

Erste Sicherheitsupdates, etwa von Lenovo, sollen seit April 2024 verfügbar sein. Die Sicherheitsforscher haben erst jetzt weitere Details zum Sicherheitsproblem veröffentlicht. Unklar bleibt bislang, welche Hersteller und PC-Modelle davon noch betroffen sind.

Um die Lücke auszunutzen, müssen lokale Angreifer an der verwundbaren Variablen TCG2_CONFIGURATION ansetzen. Weil in diesem Kontext Sicherheitschecks fehlen, können sie manipulierend eingreifen, einen Speicherfehler auslösen und im Anschluss eigenen Code ausführen. Ob ein Angreifer dafür direkten Zugriff auf einen PC haben muss, geht aus dem Beitrag der Sicherheitsforscher nicht konkret hervor.

Das Problem ist, dass viele Computerhersteller die UEFI-Firmware von Phoenix einsetzen und so mit dem verwundbaren Code ihre Geräte angreifbar machen. Das müssen Hersteller erstmal realisieren, betroffene Produktserien ausfindig machen und dann Sicherheitsupdates verteilen, die Besitzer schließlich noch installieren müssen. Diese Komplexität legt nahe, dass viele PCs ungepatcht und somit angreifbar bleiben.

Wenn sich Angreifer bereits vor dem Start eines Betriebssystems persistent mit Schadcode einnisten und eine Hintertür installieren, hat das fatale Folgen: So können sie etwa unter Windows im Verborgenen vor Virenscannern operieren und so das Betriebssystem unbemerkt vom Opfer manipulieren, umso etwa Onlinebanking-Malware zu installieren.

Ähnliches ist beispielsweise im Fall des UEFI-Bootkits BlackLouts geschehen. Dabei haben die Angreifer den UEFI-Schutzmechanismus Secure Boot umgangen, ein vollständig gepatchtes Windows 11 attackiert und unter anderem die Verschlüsselung BitLocker und den Virenscanner Defender deaktiviert.

(des)