Eine Sicherheitslücke klafft in den Aptios- und AptiosV-BIOS-Versionen von AMI. Im SMM-Modul können Angreifer eine Schwachstelle missbrauchen, um Daten an von ihnen kontrollierte Adressen zu schreiben. Das ermöglicht offenbar auch, Inhalte des Flash-Speichers zu verändern. Die Lücke ist eigentlich recht alt, wurde jedoch jüngst "wiederentdeckt", da Systeme in freier Wildbahn dafür noch anfällig sind.
Davor warnt aktuell das renommierte CERT der Carnegie Mellon University. Das bezieht sich auf eine Veröffentlichung der IT-Forscher von Binarly von Anfang Juli dieses Jahres. Konkret können Angreifer die Sicherheitslücke missbrauchen, um ihre Rechte von Ring 0 auf Ring -2 zu erhöhen, in den System-Management-Modus (SMM), vollständig vom Betriebssystem isoliert. Damit können sie auch SMM-basierte Schutzmechanismen wie SPI-Flash-Schreibschutz umgehen und so beispielsweise eine Backdoor in der Firmware implantieren.
Derart manipulierte Firmware übersteht auch Betriebssystem-Neuinstallationen. Das Sicherheitsleck ermöglicht bösartigen Akteuren zudem, von UEFI-Firmware bereitgestellte Sicherheitsmechanismen zu unterlaufen, etwa Secure Boot und einige Varianten des Speicherschutzes für Hypervisors, schreibt Binarly.
AMI hat eine eigene Sicherheitsmitteilung Ende Mai dazu veröffentlicht. "Das Problem wurde identifiziert, gelöst und darauf unter Verschwiegenheitsklausel hingewiesen, im Jahr 2018", schreibt AMI dort, Binarly hat die Lücke wiederentdeckt, da das Problem in mehreren Geräten auf dem Markt nicht angegangen wurde. Über den Schweregrad herrscht jedoch Uneinigkeit. Während AMI der Lücke CVE-2025-33043 / EUVD-2025-16381 den CVSS-Score 5.8 und damit das Risiko "mittel" zuordnet, kommen die Binarly-Forscher auf einen CVSS-Wert von 8.2, was dem Risiko "hoch" entspricht.
Binarly hat die Sicherheitslücke in BIOS-Versionen etwa aus 2024 aufgespürt. Betroffen sind etwa Adlinktech cExpress-KL-LT2, Adlinktech LED-TKN, Dell Latitude 13 3380, HP Z VR Backpack G1, HP 200 G3, einige Lenovo ThinkCentre-Systeme, das TS150, sowie das Samsung Notebook Odyssey. Für diese Systeme stellen die Hersteller Binarly zufolge auch Microcode-Updates zur Verfügung.
Mitte Juli hatte das CERT bereits vor ähnlichen Schwachstellen mit vergleichbarer Vorgeschichte gemeldet, die insbesondere Gigabyte-Mainboards betroffen haben.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare