News 07.05.2015, 12:02 Uhr

Aus Lenovos Service-Tool wird eine Sicherheitslücke

Schon wieder: Die Update-Software auf diversen Lenovo-Computern hat ein löcheriges Hintertürchen. Lenovo bestätigt das Leck. Hier sind die Sicherheitsmassnahmen.
Die Update-Zentrale «Thinkvantage» auf Lenovos Computersystemen soll eigentlich das automatische Aktualisieren der Systemtreiber vereinfachen und Sicherheits-Updates bereitstellen. Laut den Sicherheitsforensikern von IOActive klafft bei der Update-Software des chinesischen Computerherstellers jedoch eine Sicherheitslücke. Angreifer hätten freies Spiel, Validierungsmechanismen auszutricksen und über mehrere Wege Schadcode einzuschleusen, wollen die Sicherheitsforscher herausgefunden haben.

Software-Version überprüfen

Betroffen ist laut den Security-Experten die Version 5.6.027 und früher, die sich auf mehreren Lenovo-Systemen vorfinden kann. Vorfinden kann sich das löchrige Service-Programm auf zahlreichen ThinkPad-, ThinkCentre- sowie auf ThinkStation-Computern. Ebenfalls betroffen sind gemäss Hersteller die V/B/K/E-Serien. Lenovo hat aber bereits reagiert und ein Update nachgereicht. Anwendern mit verwundbarer Version wird empfohlen, die Software zu aktualisieren, die man auch manuell von dieser Lenovo-Seite herunterladen kann.

Widersprüche bei der Gefahreneinschätzung

Lenovo stuft die Sicherheitslücke im firmeninternen Advisory als mittelschwer ein. Michael Milvich und Sofiane Talmat von IOActive bewerten das Leck hingegen als «massives Sicherheitsrisiko».
Jedoch ist der Bericht von IOActive in dieser Hinsicht etwas widersprüchlich: Wie die Forensiker selber dokumentieren, erfolgt ein gezieltes Ausnützen der Schwachstelle mittels Adminrechten über mindestens zwei Lücken. Um auf Adminebene Schadcode auszuführen, müsste das Opfer zunächst über eine klassische Man-in-the-Middle-Attacke ausgespäht werden, z.B. über ein öffentliches WLAN in einem Café.
Ob massiv oder nur mässig gefährlich: Auf jeden Fall ist es sicher ratsam, verwundbare Systeme schnellstmöglich auf den neusten Stand zu bringen.

Lenovo Schweiz bestätigt die Sicherheitslücke

Lenovo Schweiz sagt auf Anfrage, dass mit Sicherheit auch hierzulande betroffene Systeme im Umlauf sind. Anwender, welche die Software nutzen, müssen laut Hersteller das Update nicht selber initiieren: Falls die Software gestartet wird, werde automatisch im Hintergrund nach Updates gesucht und diese im Hintergrund installiert. Seit Anfang April sei eine bereinigte Version verfügbar, so der derzeitige Status von Lenovo.

Schaler Nachgeschmack wegen «Superfish»

Dennoch hinterlässt das gegenwärtige Security-Debakel einen schalen Nachgeschmack, nachdem im Februar die hochgefährliche Adware Superfish für eine US-Sammelklage sorgte: Die Malware installierte nach Aktivierung ihr eigenes Root-Zertifikat im Zertifikatsspeicher von Windows. Daraus generiert Superfish SSL-Zertifikate, wenn der User HTTPS-Webseiten aufruft. Superfish war somit quasi ein Man-in-the-Middle-Proxy zwischen dem Nutzer und den eigentlich sicheren Webseiten.

Autor(in) Simon Gröflin


Kommentare

Avatar
Masche
09.05.2015
Warum nicht einen PC mit Windows pur ausliefern und den Kunden einen Gutschein für die Software mitgeben. Wer diese unbedingt will kann diese dann selbst installieren. Gute Idee, aber kaum realistisch. Die Hersteller der Software wären damit kaum einverstanden, denn sie wollen ja, dass ihre Software sozusagen als Werbung (Köder) schon installiert ist, und die PC Hersteller werden sicher auch dafür von den Software Lieferanten entschädigt. Das wäre ja, wie wenn man fordern würde, dass im Fernsehen Werbung auch nur auf speziell dafür geschaffenen Sendern ausgestrahlt würde. Wer diese unbedingt will, kann sich die Werbung ja dort anschauen. Was mich bei der vorinstallierten Software viel mehr stört ist, dass diese Programme von den PC Herstellern kaum unterstützt werden. Viele PCs haben ein eigenes Programm, das den PC regelmässig auf Updates überprüft. Die fremden Programme werden dabei aber nicht überprüft. So kommt bei der Überprüfung jeweils die beruhigende Meldung, dass der PC auf dem aktuellen Stand ist und keine Updates vorhanden seien, obwohl die vorinstallierten Programme nach kurzer Zeit total veraltet sind, was dann ein potentielles Sicherheitsrisiko darstellt. Ich bin der Meinung, dass die PC Hersteller für alle Programme, die sie mitliefern, die Verantwortung mittragen sollten. Wenn bei einem Auto beispielsweise ein Problem im Bremssystem auftritt, kann der Hersteller ja auch nicht sagen, das geht mich nichts an, die Bremsen sind nicht von mir, sondern er muss selber alle betroffenen Autos zurück rufen.