Właściciele starszych laptopów Lenovo muszą jak najszybciej odinstalować Lenovo Solution Center.
Badacze bezpieczeństwa z Pen Test Partners wykryli krytyczną lukę w Lenovo Solution Center, która może przekazywać uprawnienia administratora hakerom lub złośliwemu oprogramowaniu.
Według Pen Test Partners, luka polega na nadpisaniu arbitralnej listy kontroli dostępu (DACL), co oznacza, że użytkownik o niskich uprawnieniach może wkraść się do poufnego pliku, wykorzystując proces o wysokich uprawnieniach. Jest to przykład ataku typu „uprzywilejowana eskalacja”, w którym błąd może zostać wykorzystany do uzyskania dostępu do zasobów, które normalnie są dostępne tylko dla administratorów.
W takim przypadku osoba atakująca może napisać pseudoplik (nazywany plikiem z twardym łączem), który po uruchomieniu przez Lenovo Solution Center będzie miał dostęp do poufnych plików, do których w przeciwnym razie nie powinien mieć dostępu. Stamtąd szkodliwy kod może zostać wykonany w systemie z uprawnieniami administratora lub systemu, co w zasadzie kończy się grą, jak zauważają partnerzy Pen Test.
Lenovo Solution Center to program, który był preinstalowany na laptopach Lenovo od 2011 do listopada 2022-2023, co oznacza, że może to dotyczyć milionów urządzeń. Jak na ironię, celem programu jest monitorowanie stanu i bezpieczeństwa komputera Lenovo. Chociaż ta wada nie jest tak dużym problemem dla indywidualnych użytkowników, którzy mogą szybko chronić swoje systemy, większe firmy, które posiadają flotę starszych laptopów ThinkPad i używają starszego oprogramowania, mogą powoli się dostosowywać.
Ze swojej strony Lenovo opublikowało oświadczenie dotyczące bezpieczeństwa ostrzegające użytkowników o błędzie i wzywające ich do odinstalowania Solution Center, którego firma już nie obsługuje.
„Luka zgłoszona w Lenovo Solution Center w wersji 03.12.003, która nie jest już obsługiwana, może umożliwić zapisywanie plików dziennika w niestandardowych lokalizacjach, potencjalnie prowadząc do eskalacji uprawnień. Lenovo zakończyło wsparcie dla Lenovo Solution Center i zaleciło klientom migrację do Lenovo Vantage lub Lenovo Diagnostics w kwietniu 2022-2023” – czytamy w oświadczeniu.
Lenovo nie określiło, kiedy przestało wysyłać laptopy z preinstalowanym rozwiązaniem Solution Center, więc możliwe jest, że wiele laptopów Lenovo, które mają mniej niż rok, zawiera nieobsługiwane oprogramowanie z poważnymi wadami.
Lenovo zostało również oskarżone o zacieranie śladów. Według Pen Test Partners, po poinformowaniu Lenovo o luce, producent komputera rzekomo cofnął datę wycofania rozwiązania Solution Center o kilka miesięcy, aby wyglądało na to, że funkcja została wycofana przed wydaniem ostatniej wersji w listopadzie 2022-2023 .
„Często w przypadku aplikacji, które osiągnęły koniec wsparcia technicznego, nadal aktualizujemy aplikacje, gdy przechodzimy do nowych ofert, aby zapewnić klientom, którzy nie przeszli lub nie zdecydowali się, nadal mieć minimalny poziom wsparcia, praktyka, która nie jest rzadkością w branży” – powiedział Lenovo The Register, zapytany o rozbieżność.
Niezależnie od tego, czy Lenovo jest przebiegłe, czy nie, najważniejsze jest to: jeśli posiadasz laptopa Lenovo wyprodukowanego w latach 2011-2021-2022, jak najszybciej pozbądź się Lenovo Solution Center. Możesz to zrobić, postępując zgodnie z tym prostym przewodnikiem dotyczącym odinstalowywania programów w systemie Windows 10.
Magazyn Laptop zwrócił się do Lenovo w celu uzyskania komentarza, a my zaktualizujemy tę historię, gdy otrzymamy odpowiedź.
- Jak VPN może zwiększyć Twoje bezpieczeństwo i prywatność | Przewodnik Toma