Aus Lenovos Service-Tool wird eine Sicherheitslücke

Schon wieder: Die Update-Software auf diversen Lenovo-Computern hat ein löcheriges Hintertürchen. Lenovo bestätigt das Leck. Hier sind die Sicherheitsmassnahmen.

von Simon Gröflin 07.05.2015

Die Update-Zentrale «Thinkvantage» auf Lenovos Computersystemen soll eigentlich das automatische Aktualisieren der Systemtreiber vereinfachen und Sicherheits-Updates bereitstellen. Laut den Sicherheitsforensikern von IOActive klafft bei der Update-Software des chinesischen Computerherstellers jedoch eine Sicherheitslücke. Angreifer hätten freies Spiel, Validierungsmechanismen auszutricksen und über mehrere Wege Schadcode einzuschleusen, wollen die Sicherheitsforscher herausgefunden haben.

Software-Version überprüfen

Betroffen ist laut den Security-Experten die Version 5.6.027 und früher, die sich auf mehreren Lenovo-Systemen vorfinden kann. Vorfinden kann sich das löchrige Service-Programm auf zahlreichen ThinkPad-, ThinkCentre- sowie auf ThinkStation-Computern. Ebenfalls betroffen sind gemäss Hersteller die V/B/K/E-Serien. Lenovo hat aber bereits reagiert und ein Update nachgereicht. Anwendern mit verwundbarer Version wird empfohlen, die Software zu aktualisieren, die man auch manuell von dieser Lenovo-Seite herunterladen kann.

Widersprüche bei der Gefahreneinschätzung

Lenovo stuft die Sicherheitslücke im firmeninternen Advisory als mittelschwer ein. Michael Milvich und Sofiane Talmat von IOActive bewerten das Leck hingegen als «massives Sicherheitsrisiko».

Jedoch ist der Bericht von IOActive in dieser Hinsicht etwas widersprüchlich: Wie die Forensiker selber dokumentieren, erfolgt ein gezieltes Ausnützen der Schwachstelle mittels Adminrechten über mindestens zwei Lücken. Um auf Adminebene Schadcode auszuführen, müsste das Opfer zunächst über eine klassische Man-in-the-Middle-Attacke ausgespäht werden, z.B. über ein öffentliches WLAN in einem Café.

Ob massiv oder nur mässig gefährlich: Auf jeden Fall ist es sicher ratsam, verwundbare Systeme schnellstmöglich auf den neusten Stand zu bringen.

Lenovo Schweiz bestätigt die Sicherheitslücke

Lenovo Schweiz sagt auf Anfrage, dass mit Sicherheit auch hierzulande betroffene Systeme im Umlauf sind. Anwender, welche die Software nutzen, müssen laut Hersteller das Update nicht selber initiieren: Falls die Software gestartet wird, werde automatisch im Hintergrund nach Updates gesucht und diese im Hintergrund installiert. Seit Anfang April sei eine bereinigte Version verfügbar, so der derzeitige Status von Lenovo.

Schaler Nachgeschmack wegen «Superfish»

Dennoch hinterlässt das gegenwärtige Security-Debakel einen schalen Nachgeschmack, nachdem im Februar die hochgefährliche Adware Superfish für eine US-Sammelklage sorgte: Die Malware installierte nach Aktivierung ihr eigenes Root-Zertifikat im Zertifikatsspeicher von Windows. Daraus generiert Superfish SSL-Zertifikate, wenn der User HTTPS-Webseiten aufruft. Superfish war somit quasi ein Man-in-the-Middle-Proxy zwischen dem Nutzer und den eigentlich sicheren Webseiten.


    Kommentare

    • maschwi 07.05.2015, 16.47 Uhr

      es ist immer dasselbe: PC Hersteller jubeln den Käufern dauernd eigene Software unter die niemand will. Warum nicht einen PC mit Windows pur ausliefern und den Kunden einen Gutschein für die Software mitgeben. Wer diese unbedingt will kann diese dann selbst installieren. Es wäre ein bisschen Ethik bei den PC Herstellern gefragt. Dies betrifft übrigens auch andere Software Hersteller welche beim Update ihrer Software dauernd andere Software nachliefern wollen welche man jeweils aushacken muss. A[...]

    • Masche 09.05.2015, 08.56 Uhr

      Gute Idee, aber kaum realistisch. Die Hersteller der Software wären damit kaum einverstanden, denn sie wollen ja, dass ihre Software sozusagen als Werbung (Köder) schon installiert ist, und die PC Hersteller werden sicher auch dafür von den Software Lieferanten entschädigt. Das wäre ja, wie wenn man fordern würde, dass im Fernsehen Werbung auch nur auf speziell dafür geschaffenen Sendern ausgestrahlt würde. Wer diese unbedingt will, kann sich die Werbung ja dort anschauen. Was mich bei der [...]

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.