P52/72 Joker-Foto statt Lenovo-Logo

[Robyn]

Hallo,
ich habe am 12.02.25 in einer spontanen Update-Laune zusätzlich zu dem anstehenden Windows-Update auch die optionalen Treiber-Updates von Lenovo und Intel mitinstalliert auf unserem Familien-Laptop, ein ThinkPad P52. Genauer gesagt diese laut Windows Updateverlauf:
- Lenovo - System - 1.69.20.0
- Lenovo Ltd. - Firmware - 12.0.95.2489
- Lenovo Ltd. - Firmware - 1.0.0.55
- Intel(R) Corporation - System - 17.4.80.94
Lief alles nebenher und unauffällig ab, hab mir weiter keine Gedanken gemacht.
Heute sagt mein Kind, dass beim Booten so ein horrorartiges Bild angezeigt wurde.
Ich schau sofort nach, tatsächlich: Beim Booten grinst mich Batmans Erzfeind Joker an wo bisher immer fett das rote Rechteck mit dem Lenovo-Schriftzug prangte. Siehe Anhang.
Nun bin ich sehr irritiert und beunruhigt. Was meint Ihr?

 

[ahoellrigl]

Es gibt ja grob gesagt zwei Kategorien von Malware. Bei der einen ist es das Ziel, einen PC zu kapern, um ihn für illegale Aktivitäten zu nutzen oder Daten abzugreifen oder beides. Solche Malware ist so programmiert, dass sie möglichst nicht entdeckt werden kann. Die wird also sicher nichts am PC ändern, was ein Nutzer leicht sehen könnte.

Bei der anderen Kategorie geht es darum, Nutzer zu erschrecken und zu erpressen, damit sie irgendwas Dummes tun, Geld zahlen, was auch immer. Solche Malware zeigt dann aber nicht allein ein schräges Bild, sondern teilt auch sehr deutlich mit, was der Nutzer Dummes tun bzw. zahlen sollte, um angedrohte böse Folgen zu vermeiden.

Aber mal im Ernst. Das klingt für mich nach nem Prank.

Vermutlich das, ja.

Saubere Version flashen und gut ist.

Eben. Danach ist der UEFI/BIOS-Bereich neu beschrieben. Was da vorher stand, ist nicht mehr da. Zumindest ist das mein Wissensstand.

 

[tom_k]

Wo bekomme ich den die 1.55er aka N2CET72W?
Ihr habt mich jetzt so neugierig gemacht, da will ich dann jetze aber ooch mal reinglubschen.


Btw, @bodu, sind die header von den gifs gestripped?
Eigentlich starten die mit dem hex string [47 49 46 38] aka "GIF8"

 

[fakiauso]

Wo bekomme ich den die 1.55er aka N2CET72W?
Ihr habt mich jetzt so neugierig gemacht, da will ich dann jetze aber ooch mal reinglubschen.

Aaaaaaaaaaaaalso - es gibt diese Version anscheinend tatsächlich:

ReadMe

Das Problem des TE mit dem Bootlogo gab es tatsächlich schon, allerdings ist das etwa Ende 2023 gewesen und die Lücke sollte mit Revision 1.52 bereits gefixt sein (siehe die Versionshistorie):

CVE-2023-5058 : Improper Input Validation in the processing of user-supplied splash screen durin

CVE-2023-5058 : Improper Input Validation in the processing of user-supplied splash screen during system boot in Phoenix SecureCore™ Technology™ 4 potentially all

www.cvedetails.com

https://support.lenovo.com/de/de/product_security/ps500590-bios-image-parsing-function-vulnerabilities-logofail

Was ich mir jetzt vorstellen könnte, wäre die Möglichkeit, das 1.55 nicht für alle Maschinen und Länder ausgegeben wurde; oder es ist tatsächlich der besagte Bug wieder aufgetreten und 1.55 wurde zurückgezogen.

Wieso dann das 1.55 beim TE verteilt wurde und/oder warum das Windows Update anbeitet, müsste man noch herausfinden. Auf jeden Fall sollte da auf die Version 1.54 zurückgesetzt werden und bei erneutem Erscheinen das Update blockiert werden. BIOS spiele ich z.B. nur über Lenovo selber ein oder unter Linux mittels fwupdater.

Das wird ja jetzt richtig aufregend.

 

[der_ingo]

Das Problem des TE mit dem Bootlogo gab es tatsächlich schon, allerdings ist das etwa Ende 2023 gewesen und die Lücke sollte mit Revision 1.52 bereits gefixt sein

Die Lücke ist aber nicht das Problem des TE.

Die Lücke äußert sich nicht in seltsamen Bootlogos, sondern man nutzt einen Fehler in der Logo-Verarbeitung beim Flash-Vorgang, um anderen Unfug anzurichten. Wer das ernsthaft vor hätte, wird dabei sicherlich wieder das original aussehende Lenovo Logo flashen und nicht mit so einem Kindergarten-Krams auf sich aufmerksam machen.

BIOS spiele ich z.B. nur über Lenovo selber ein oder unter Linux mittels fwupdater.

Ist okay, aber Microsoft bekommt die Daten auch direkt von Lenovo. Insofern ist das normalerweise ebenfalls unproblematisch.

 

[fakiauso]

Die Lücke äußert sich nicht in seltsamen Bootlogos, sondern man nutzt einen Fehler in der Logo-Verarbeitung beim Flash-Vorgang, um anderen Unfug anzurichten. Wer das ernsthaft vor hätte, wird dabei sicherlich wieder das original aussehende Lenovo Logo flashen und nicht mit so einem Kindergarten-Krams auf sich aufmerksam machen.

Zumindest tritt das in Zusammenhang mit persönlichen Logos auf und den Joker würde ich jetzt nicht als von Lenovo arrangiert betrachten. Jemand, der das Logo in einer vermeintlich aktuellen BIOS-Version reinprügeln kann, kann vielleicht auch etwas mehr.

Leider gibt es ausser dem besagten Verhalten und Problem jetzt nicht wirklich weitere Fundstellen dazu, auch mit Nicht-Lenovos.

 

[tom_k]

Und wo bitte ist der dld link?
Srsly, ofc hatte ich mich hier eingelesen, externe Suche bemüht und versucht an 1.55 zu kommen,
dann einfach mal 3 und 4 gezogen um kurz reinzuschauen
und aus dem Vergleich von 3 und 4 sowie später Beider mit 5 RückFehlschlüsse zu ziehen.


Im schlimmsten Fall hängt jetzt schadcode im bios der nicht zwinged mit nem update verschwindet
und vom 0815 scanner schwerlich entdeckt oder gar beseitigt werden kann.
Aber ein gutes Sicherheitskonzept geht natürlich immer vom günstigsten fall aus

 

[der_ingo]

Zumindest tritt das in Zusammenhang mit persönlichen Logos auf und den Joker würde ich jetzt nicht als von Lenovo arrangiert betrachten.

Sicher nicht, aber die Sicherheitslücke ist halt ein ganz anderes Thema. Man muss keine Sicherheitslücke nutzen, um das Logo zu ändern und wenn man die Sicherheitslücke nutzen will, wäre es Unsinn, ein auffälliges Logo zu flashen.

Jemand, der das Logo in einer vermeintlich aktuellen BIOS-Version reinprügeln kann, kann vielleicht auch etwas mehr.

Möglich, aber wozu?

Es wurde ja nun mehrfach im Thread beschrieben, dass man das Logo einfach in den passenden Ordner kopiert und ein BIOS flasht. Das benötigt keinerlei Erfahrung.

Noch mal: Kriminelle wollen Geld machen. Entweder wollen sie also unerkannt bleiben (kein auffälliges Logo) oder sie wollen dich erpressen (andere Methoden, um dich von deinen Daten fernzuhalten). So ergibt das alles keinen Sinn und der einfachste Schluss daraus ist halt, dass es keine Kriminellen sind.

Bleibt halt ein Prank, durch wen auch immer. Zumindest brauchte der- oder diejenige dazu kein Expertenwissen.
Da sich hier im Forum nicht klären lässt, wer Zugriff auf das Gerät hatte, wird sich damit der Auslöser des Problems auch nicht klären lassen.