image

Lenovo waarschuwt voor zero day-lek in bios ThinkPad-laptops

zaterdag 2 juli 2016, 08:28 door Redactie, 14 reacties
Laatst bijgewerkt: 04-07-2016, 10:28

Computerfabrikant Lenovo heeft een waarschuwing afgegeven voor een zero day-lek in het bios van ThinkPad-laptops waarvoor nog geen beveiligingsupdate beschikbaar is. Via de kwetsbaarheid kan een aanvaller die beheerderstoegang tot het systeem heeft de schrijfbeveiliging van het bios uitschakelen en zo het bios infecteren. Ook is het mogelijk om beveiligingsmaatregelen van het besturingssystemen uit te schakelen.

Het gaat dan bijvoorbeeld om Secure Boot en Virtual Secure Mode van Windows 10. De onderzoeker die de kwetsbaarheid ontdekte maakte de details en aanvalscode bekend zonder eerst Lenovo te informeren. Daardoor is er nog geen beveiligingsupdate beschikbaar. Lenovo stelt dat het de kwetsbare bios-code niet zelf heeft ontwikkeld, maar dat die van een onafhankelijke bios-leverancier afkomstig is die nog niet is gevonden.

Daardoor bestaat het risico dat het bios-lek ook in de systemen van andere computerfabrikanten aanwezig is. Iets wat Lenovo nu samen met Intel en andere verschillende bios-leveranciers aan het uitzoeken is. Op dit moment zou er ook met deze partijen worden samengewerkt om een beveiligingsupdate voor de kwetsbaarheid te ontwikkelen. Wanneer die precies verschijnt is nog onbekend.

Bios staat voor basic input/output system en is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Een beveiligingslek in het bios kan dan ook vergaande gevolgen hebben.

Reacties (14)
02-07-2016, 10:34 door karma4
Als er ongecontroleerd beheerders toegang (root) is dan is er nog een ernstig probleem.
02-07-2016, 11:07 door Erik van Straten
Lenovo stelt dat het de kwetsbare bios-code niet zelf heeft ontwikkeld, maar dat die van een onafhankelijke bios-leverancier afkomstig is die nog niet is gevonden.
Wat?!

Lenovo:
- het is niet onze fout, wij hebben slechts een BIOS bij elkaar gegoogled
- het is dus niet ons probleem
- het is ons onbekend wiens fout het wel is
- het is dus hooguit een probleem voor die onbekende ontwikkelaar - en voor bezitters van Lenovo notebooks (maar gezien het aantal eerdere lekken daarin, verdrinkt 1 zo'n nieuw lekje in de ruis). Suggestie: overweeg volgende keer een ander merk. Goedkoop is duurkoop!
02-07-2016, 11:32 door Anoniem
Dit is "gewoon" een achterdeur.
02-07-2016, 13:30 door Anoniem
Door Erik van Straten: Suggestie: overweeg volgende keer een ander merk. Goedkoop is duurkoop!
Zodat je als consument bij keuze voor een ander merk straks achteraf tegen jezelf kan zeggen "Ik weet ook niet waarom ik dit merk heb gekozen, maar ik weet wel dat Erik van Straten zei dat ik beter een ander merk kon overwewgen". ;)
02-07-2016, 13:44 door Anoniem
Is er al een Coreboot config voor de getroffen modellen? Ik compile dan m'n eigen bios wel. Ik bedoel, wie gebruikt de 16bit calls naar het bios überhaupt nog? Meer als hardware initialisatie en een jump naar de bootloader heb je niet meer nodig tegenwoordig. De rest is alleen maar backdoors van "veiligheidsdiensten".

Coreboot: https://www.coreboot.org/
02-07-2016, 16:21 door Anoniem
Door Erik van Straten:
Lenovo stelt dat het de kwetsbare bios-code niet zelf heeft ontwikkeld, maar dat die van een onafhankelijke bios-leverancier afkomstig is die nog niet is gevonden.
Wat?!

Lenovo:
- het is niet onze fout, wij hebben slechts een BIOS bij elkaar gegoogled
- het is dus niet ons probleem
- het is ons onbekend wiens fout het wel is
- het is dus hooguit een probleem voor die onbekende ontwikkelaar - en voor bezitters van Lenovo notebooks (maar gezien het aantal eerdere lekken daarin, verdrinkt 1 zo'n nieuw lekje in de ruis). Suggestie: overweeg volgende keer een ander merk. Goedkoop is duurkoop!

Jeetje, drama maken is ook een vak. Heb je het artikel van Lenovo wel gelezen. Ze onderzoeken momenteel welke software vendor verantwoordelijk is voor de betreffende code, welke impact het heeft en hoe ze het verder gaan oplossen. Gewoon normale gang van zaken. Alleen is het een beetje raar verwoord in dit artikel van security.nl.
02-07-2016, 18:00 door Anoniem
I decided to do the full disclosure because the main goal of my UEFI series articles is to share the knowledge, not to make vendors and their users happy.
02-07-2016, 22:26 door Erik van Straten
@Anonymous cowards van 02-07-2016, 13:30 en 16:21: gelukkig staat het potentiële Lenovo kopers vrij om naar jullie adviezen te luisteren, of naar de mijne.

Ze kunnen natuurlijk ook googlen naar Lenovo vulnerability en de conclusie trekken dat voortdurend derden lekken blijven vinden in Lenovo meuk - en Lenovo kennelijk nog steeds niet de moeite heeft genomen om hier zelf eens goed de bezem doorheen te halen, of daar ter zake kundige mensen voor in te huren.

Daarnaast is het natuurlijk de vraag wiens bijdragen helpen bewerkstelligen dat fabrikanten hun productieprocessen op orde krijgen. Want hoewel je zo'n stroom aan lekken "normaal" (in de zin van gangbaar, zoals lekken in Adobe Flash) zou kunnen noemen, vind ik zo'n stroom lekken als bij Lenovo volstrekt onacceptabel. Hoe meer anderewangtoekeerders (of medewerkers?) zoals jullie dit soort meuk helpen gedogen, hoe langer het duurt voordat fabrikanten en leveranciers hun verantwoordelijkheid nemen.

Geen dank voor jullie bijdragen.
02-07-2016, 22:59 door Anoniem
@ 16:21 hoe bedoel je raar verwoord, Lenovo zegt zelf dat ze niet weten wie de code maakt die ze in hun spullen stoppen:
because Lenovo did not develop the vulnerable SMM code and is still in the process of determining the identity of the original author
03-07-2016, 01:43 door karma4
Door Anoniem: @ 16:21 hoe bedoel je raar verwoord, Lenovo zegt zelf dat ze niet weten wie de code maakt die ze in hun spullen stoppen:
because Lenovo did not develop the vulnerable SMM code and is still in the process of determining the identity of the original author
Heel gangbaar wie codeert er tegenwoordig nog. Je copy paste wat van internet daarmee ben je de bink (oss).
En niemand die zich afvraagt hoe zon proces beheerdersrechten kan krijgen? Wat voor admins zijn er aanwezig?
03-07-2016, 09:21 door Briolet
Via de kwetsbaarheid kan een aanvaller die beheerderstoegang tot het systeem heeft
Dat laat weer eens zien dat het altijd verstandig is om standaard onder een user account te werken en niet onder een beheerders account.

NB De originele brontekst is niet leesbaar met sommige browsers (b.v.Safari). Ik moest de useragent op IE zetten om die tekst te krijgen. Blijkbaar verwachten ze niet dat een Mac gebruiker ooit hun producten gaat kopen.
03-07-2016, 15:40 door Anoniem
Door Erik van Straten: @Anonymous cowards van 02-07-2016, 13:30 en 16:21: ....
Geen dank voor jullie bijdragen.
Wat voor reacties had je verwacht op je eigen rant? Een stukje medeleven of steun? Je kan hier verwachten dat als je een ongefundeerde of slecht verwoorde mening of advies geeft je daarop inhoudelijk zal worden aangesproken. Wat mij betreft maakt het niet uit of iemand hier met of zonder naam reacties plaatst, zolang het maar inhoudelijk is. En als je op naam gaat ranten kan je verwachten dat je op naam een reactie terug krijgt. Net zo als we hier bedrijven bij naam noemen die hun naam gebruiken om produkten te verkopen. Pak het aub iets sportiever op.

In het sprookje dat een merk slechter of beter is op basis van het aantal security meldingen geloof ik niet. Als ik dat wel zou doen dan zou de stelling moeten opgaan dat onderzoekers evenwichtig over alle merken naar security issues zoeken en de media dat evenwichtig brengen en daar heb ik ze nog niet op kunnen betrappen.

Ook het idee dat bedrijven veiligere producten gaan leveren als we de producten maar niet meer kopen is achterhaald. Misschien ken je de tijd nog dat Microsoft nauwelijks security patches uitbracht maar zich wel negatief uit liet over open source software op basis van de openheid over security issues en patches. Microsoft is daar niet mee gestopt omdat klanten hun producten niet meer kochten.

De oplossing zit hem er in dat klanten en bedrijven waarde zien in beveiliging. Maar dat ga je niet krijgen als diezelfde klanten zelf niet snappen wanneer een security issue voor hun een probleem is en bedrijven geen extra omzet halen in het verder verbeteren van hun security processen.
04-07-2016, 18:40 door SPlid - Bijgewerkt: 04-07-2016, 18:40
Vrugâh, deed ik een update van mijn fused links bios door deze met een schroevendraaier uit mijn moederboard te wippen. de pootjes van de nieuwe bij te buigen en in het voetje te steken. kans op besmetting : heel klein .....;-)
06-07-2016, 17:55 door Rolfieo
Door Erik van Straten:
Lenovo stelt dat het de kwetsbare bios-code niet zelf heeft ontwikkeld, maar dat die van een onafhankelijke bios-leverancier afkomstig is die nog niet is gevonden.
Wat?!

Lenovo:
- het is niet onze fout, wij hebben slechts een BIOS bij elkaar gegoogled
- het is dus niet ons probleem
- het is ons onbekend wiens fout het wel is
- het is dus hooguit een probleem voor die onbekende ontwikkelaar - en voor bezitters van Lenovo notebooks (maar gezien het aantal eerdere lekken daarin, verdrinkt 1 zo'n nieuw lekje in de ruis).

Misschien nu nog eens terug komen op je opmerkingen? Aangezien het nu duidelijk is, dat het probleem iets groter is als Lenovo alleen? Waarschijnlijk zit het issue hem in de Intel code.
Waarbij er zelfs al een bewuste backdoor genoemd wordt.

Lenovo kan er niet zoveel aan doen, als Intel een "foutje" heeft gemaakt.

Suggestie: overweeg volgende keer een ander merk. Goedkoop is duurkoop!
Tja... Lenovo is helemaal niet zo goedkoop. Maar hun zakelijke laptops zijn wel van zeer goede kwaliteit (maar hun software is wel voor verbetering vatbaar).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.