P52/72 Joker-Foto statt Lenovo-Logo

[Robyn]

Hallo,
ich habe am 12.02.25 in einer spontanen Update-Laune zusätzlich zu dem anstehenden Windows-Update auch die optionalen Treiber-Updates von Lenovo und Intel mitinstalliert auf unserem Familien-Laptop, ein ThinkPad P52. Genauer gesagt diese laut Windows Updateverlauf:
- Lenovo - System - 1.69.20.0
- Lenovo Ltd. - Firmware - 12.0.95.2489
- Lenovo Ltd. - Firmware - 1.0.0.55
- Intel(R) Corporation - System - 17.4.80.94
Lief alles nebenher und unauffällig ab, hab mir weiter keine Gedanken gemacht.
Heute sagt mein Kind, dass beim Booten so ein horrorartiges Bild angezeigt wurde.
Ich schau sofort nach, tatsächlich: Beim Booten grinst mich Batmans Erzfeind Joker an wo bisher immer fett das rote Rechteck mit dem Lenovo-Schriftzug prangte. Siehe Anhang.
Nun bin ich sehr irritiert und beunruhigt. Was meint Ihr?

 

[ahoellrigl]

Es gibt ja grob gesagt zwei Kategorien von Malware. Bei der einen ist es das Ziel, einen PC zu kapern, um ihn für illegale Aktivitäten zu nutzen oder Daten abzugreifen oder beides. Solche Malware ist so programmiert, dass sie möglichst nicht entdeckt werden kann. Die wird also sicher nichts am PC ändern, was ein Nutzer leicht sehen könnte.

Bei der anderen Kategorie geht es darum, Nutzer zu erschrecken und zu erpressen, damit sie irgendwas Dummes tun, Geld zahlen, was auch immer. Solche Malware zeigt dann aber nicht allein ein schräges Bild, sondern teilt auch sehr deutlich mit, was der Nutzer Dummes tun bzw. zahlen sollte, um angedrohte böse Folgen zu vermeiden.

Aber mal im Ernst. Das klingt für mich nach nem Prank.

Vermutlich das, ja.

Saubere Version flashen und gut ist.

Eben. Danach ist der UEFI/BIOS-Bereich neu beschrieben. Was da vorher stand, ist nicht mehr da. Zumindest ist das mein Wissensstand.

 

[tom_k]

Wo bekomme ich den die 1.55er aka N2CET72W?
Ihr habt mich jetzt so neugierig gemacht, da will ich dann jetze aber ooch mal reinglubschen.


Btw, @bodu, sind die header von den gifs gestripped?
Eigentlich starten die mit dem hex string [47 49 46 38] aka "GIF8"

 

[fakiauso]

Wo bekomme ich den die 1.55er aka N2CET72W?
Ihr habt mich jetzt so neugierig gemacht, da will ich dann jetze aber ooch mal reinglubschen.

Aaaaaaaaaaaaalso - es gibt diese Version anscheinend tatsächlich:

ReadMe

Das Problem des TE mit dem Bootlogo gab es tatsächlich schon, allerdings ist das etwa Ende 2023 gewesen und die Lücke sollte mit Revision 1.52 bereits gefixt sein (siehe die Versionshistorie):

CVE-2023-5058 : Improper Input Validation in the processing of user-supplied splash screen durin

CVE-2023-5058 : Improper Input Validation in the processing of user-supplied splash screen during system boot in Phoenix SecureCore™ Technology™ 4 potentially all

www.cvedetails.com

https://support.lenovo.com/de/de/product_security/ps500590-bios-image-parsing-function-vulnerabilities-logofail

Was ich mir jetzt vorstellen könnte, wäre die Möglichkeit, das 1.55 nicht für alle Maschinen und Länder ausgegeben wurde; oder es ist tatsächlich der besagte Bug wieder aufgetreten und 1.55 wurde zurückgezogen.

Wieso dann das 1.55 beim TE verteilt wurde und/oder warum das Windows Update anbeitet, müsste man noch herausfinden. Auf jeden Fall sollte da auf die Version 1.54 zurückgesetzt werden und bei erneutem Erscheinen das Update blockiert werden. BIOS spiele ich z.B. nur über Lenovo selber ein oder unter Linux mittels fwupdater.

Das wird ja jetzt richtig aufregend.

 

[der_ingo]

Das Problem des TE mit dem Bootlogo gab es tatsächlich schon, allerdings ist das etwa Ende 2023 gewesen und die Lücke sollte mit Revision 1.52 bereits gefixt sein

Die Lücke ist aber nicht das Problem des TE.

Die Lücke äußert sich nicht in seltsamen Bootlogos, sondern man nutzt einen Fehler in der Logo-Verarbeitung beim Flash-Vorgang, um anderen Unfug anzurichten. Wer das ernsthaft vor hätte, wird dabei sicherlich wieder das original aussehende Lenovo Logo flashen und nicht mit so einem Kindergarten-Krams auf sich aufmerksam machen.

BIOS spiele ich z.B. nur über Lenovo selber ein oder unter Linux mittels fwupdater.

Ist okay, aber Microsoft bekommt die Daten auch direkt von Lenovo. Insofern ist das normalerweise ebenfalls unproblematisch.

 

[fakiauso]

Die Lücke äußert sich nicht in seltsamen Bootlogos, sondern man nutzt einen Fehler in der Logo-Verarbeitung beim Flash-Vorgang, um anderen Unfug anzurichten. Wer das ernsthaft vor hätte, wird dabei sicherlich wieder das original aussehende Lenovo Logo flashen und nicht mit so einem Kindergarten-Krams auf sich aufmerksam machen.

Zumindest tritt das in Zusammenhang mit persönlichen Logos auf und den Joker würde ich jetzt nicht als von Lenovo arrangiert betrachten. Jemand, der das Logo in einer vermeintlich aktuellen BIOS-Version reinprügeln kann, kann vielleicht auch etwas mehr.

Leider gibt es ausser dem besagten Verhalten und Problem jetzt nicht wirklich weitere Fundstellen dazu, auch mit Nicht-Lenovos.

 

[tom_k]

Und wo bitte ist der dld link?
Srsly, ofc hatte ich mich hier eingelesen, externe Suche bemüht und versucht an 1.55 zu kommen,
dann einfach mal 3 und 4 gezogen um kurz reinzuschauen
und aus dem Vergleich von 3 und 4 sowie später Beider mit 5 RückFehlschlüsse zu ziehen.


Im schlimmsten Fall hängt jetzt schadcode im bios der nicht zwinged mit nem update verschwindet
und vom 0815 scanner schwerlich entdeckt oder gar beseitigt werden kann.
Aber ein gutes Sicherheitskonzept geht natürlich immer vom günstigsten fall aus

 

[der_ingo]

Zumindest tritt das in Zusammenhang mit persönlichen Logos auf und den Joker würde ich jetzt nicht als von Lenovo arrangiert betrachten.

Sicher nicht, aber die Sicherheitslücke ist halt ein ganz anderes Thema. Man muss keine Sicherheitslücke nutzen, um das Logo zu ändern und wenn man die Sicherheitslücke nutzen will, wäre es Unsinn, ein auffälliges Logo zu flashen.

Jemand, der das Logo in einer vermeintlich aktuellen BIOS-Version reinprügeln kann, kann vielleicht auch etwas mehr.

Möglich, aber wozu?

Es wurde ja nun mehrfach im Thread beschrieben, dass man das Logo einfach in den passenden Ordner kopiert und ein BIOS flasht. Das benötigt keinerlei Erfahrung.

Noch mal: Kriminelle wollen Geld machen. Entweder wollen sie also unerkannt bleiben (kein auffälliges Logo) oder sie wollen dich erpressen (andere Methoden, um dich von deinen Daten fernzuhalten). So ergibt das alles keinen Sinn und der einfachste Schluss daraus ist halt, dass es keine Kriminellen sind.

Bleibt halt ein Prank, durch wen auch immer. Zumindest brauchte der- oder diejenige dazu kein Expertenwissen.
Da sich hier im Forum nicht klären lässt, wer Zugriff auf das Gerät hatte, wird sich damit der Auslöser des Problems auch nicht klären lassen.

 

[fakiauso]

Möglich, aber wozu?

Script-Kiddies?

Da sich hier im Forum nicht klären lässt, wer Zugriff auf das Gerät hatte, wird sich damit der Auslöser des Problems auch nicht klären lassen.

So ist es. Da kann nur der TE eine Ansage machen. Sonst wird das immer mehr OT. Solange keiner weiss, ob das lecker Bildchen wirklich über das nicht vorhandene Update kam oder anders reingebrezelt wurde, ist eh alles Schiessen in´s Blaue. Ich tippe ja immer noch auf einen Joke - haha.

Bis dahin halt die Rolle rückwärts auf 1.54 und Neuinstallation plus weiter Beobachten. Mehr geht nicht.

Und wo bitte ist der dld link?

Weg? ;-)

Ich habe jedenfalls nichts gefunden, mag mich aber dann auch nicht in graue Bereiche des Internetzwebs und tiefer vorwagen für so eine Chose.

 

[ahoellrigl]

Bis dahin halt die Rolle rückwärts auf 1.54 und Neuinstallation plus weiter Beobachten. Mehr geht nicht.

Eben. Das sollte man nicht behandeln wie den Tatort eines Kapitalverbrechens, wo man unbedingt den Verbrecher finden will und dafür Spuren sucht. Beziehungsweise hat man die hier ja bereits, siehe unten. Sondern als einen PC, der nicht richtig funktioniert und den man wieder zum Laufen bekommen möchte.

Im schlimmsten Fall hängt jetzt schadcode im bios der nicht zwinged mit nem update verschwindet
und vom 0815 scanner schwerlich entdeckt oder gar beseitigt werden kann.

Bei jedem UEFI/BIOS-Update von Lenovo wird immer derselbe komplette Bereich neu geflasht. Die Binaries sind immer gleich groß. Um etwas ins UEFI/BIOS zu schreiben, das bei einem Update nicht verschwindet, müsste man es in einen anderen, ansonsten nicht verwendeten Bereich schreiben (gibt es den?). Man müsste neben dem Binary auch das Flashprogramm entsprechend manipulieren. Und man müsste das System dazu bringen, den Code im eigentlich gar nicht genutzten Bereich auszuführen. Und dann müsste man auch noch irgendwie dafür sorgen, dass durch diesen Code Funktionen im Betriebssystem ausgeführt werden. So einen Aufwand (sofern so etwas technisch überhaupt möglich ist) betreibt ein etwaiger Angreifer nur, wenn er mit dem PC so richtig böse Dinge tun will. Sehr wichtige Daten abgreifen will. Und dann wird so ein Angreifer (wie schon ein paarmal angesprochen), ganz bestimmt kein schräges Bild am Anfang des Bootvorgangs erscheinen lassen, um auf seinen Angriff aufmerksam zu machen. Zu einem Zeitpunkt, wo das Betriebssystem noch gar nicht läuft, man also noch gar keinen Zugriff auf die Daten auf dem PC hat. Das ergäbe keinen Sinn.

Auch heute (eben ausprobiert) findet man bei einer Recherche mit den Strings N2CET72W (BIOS ID) oder N2CUJ43W (Package ID) nur ein paar ganz wenige Treffer, wo anscheinend Leute so eine Version auf ihrem P52/P72 haben. Aber absolut keinen Hinweis auf falsche Splash-Screens oder Malware.

Der TE hat ja auf seinem Gerät bereits den Ordner gefunden, wo Windows das heruntergeladene Update abgelegt hat (siehe #34). Da könnte man ja ggf. mal schauen, ob das geflashte Binary z.B. gleich groß ist wie das, was bei einem manuellen UEFI/BIOS-Update mit der Datei von der Lenovo-Supportseite geflasht wird.

Ansonsten ist die Situation beim UEFI/BIOS für das P52/P72 tatsächlich ein wenig unübersichtlich (siehe auch diesen Thread im Lenovo-Forum). Es gibt eine Readme-Seite für eine Version 1.55.

• https://download.lenovo.com/pccbbs/mobiles/n2cuj43w.html

Aber wenn man versucht, eine .exe-Datei mit dem dazu korrespondierenden Link herunterzuladen,

• https://download.lenovo.com/pccbbs/mobiles/n2cuj43w.exe

landet man auf einer 404-Fehlerseite. Ob da womöglich die Version von Lenovo zurückgezogen wurde, ist unklar. Vielleicht klärt sich das auf, wenn man noch ein paar Wochen wartet. Aber bis dahin sollte man, wie auch schon mehrfach erwähnt, lieber noch einmal die letzte bei Lenovo verfügbare Version flashen, also die 1.54. Damit macht man zumindest mal nichts falsch.