UEFI-Sicherheitslücken machen All-in-One-PCs von Lenovo angreifbar

Aufgrund von mehreren UEFI-Sicherheitslücken können Angreifer bestimmte All-in-One-PC-Modelle von Lenovo der Serien IdeaCentre und Yoga attackieren. Im schlimmsten Fall können sie Sicherheitsmechanismen umgehen und Systeme von Nutzern unbemerkt vollständig mit Schadcode kompromittieren. Noch sind nicht alle abgesicherten UEFI-Versionen erschienen.

Wie aus einem Beitrag hervorgeht, finden sich die Schwachstellen (CVE-2025-4421 "hoch", CVE-2025-4422 "hoch", CVE-2025-4423 "hoch", CVE-2025-4424 "mittel", CVE-2025-4425 "mittel", CVE-2025-4426 "mittel") in einigen von Insyde Software auf bestimmte Lenovo-PCs angepasste UEFI-Versionen. Demzufolge sind nicht alle UEFI-Ausgaben von Insyde Software verwundbar. Die Sicherheitslücken ähneln denen, die Gigabyte kürzlich in einigen UEFI-Firmwares geschlossen hat.

Durch das Auslösen von Speicherfehlern können Angreifer im UEFI-Kontext Zugriff auf den Systemverwaltungsmodus (System Management Mode, SMM) bekommen. An dieser Stelle können Angreifer bereits vor dem Start eines Betriebssystems Schadcode platzieren und so die volle Kontrolle über Computer erlangen.

Die Beschreibung der Lücken liest sich so, als könnten Angreifer auf diesem Weg den Sicherheitsmechanismus Secure Boot umgehen. Der sorgt unter anderem dafür, dass ein Computer mit Schadcode manipulierte Betriebssysteme erkennt und nicht startet. In so einem Fall bliebe Schadcode unentdeckt und Opfer arbeiten, ohne es zu ahnen, mit einem kompromittierten System.

Auf die Lücken sind Sicherheitsforscher von Binarly gestoßen. Sie geben an, Lenovo Anfang April 2025 darüber informiert zu haben. Mittlerweile gibt es eine Warnmeldung des Computerherstellers zu den Sicherheitslücken.

Konkret betroffen sind die folgenden Modelle:

IdeaCentre AIO 3 24ARR9IdeaCentre AIO 3 27ARR9Yoga AIO 27IAH10Yoga AIO 32ILL10Yoga AIO 9 21IRH8

Für die verwundbaren IdeaCentre-Modelle ist die UEFI-Firmware O6BKT1AA abgesichert. Die genannten Yoga-PCs bleiben noch verwundbar. Die Sicherheitsupdates sollen am 30. September (Yoga AIO 32ILL10, Yoga AIO 9 21IRH8) und 30. November 2025 (Yoga AIO 27IAH10) erscheinen. Ob es bereits Attacken gibt und woran Admins attackierte Computer erkennen können, ist bislang unklar.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo