Οι κάτοχοι παλαιότερων φορητών υπολογιστών Lenovo πρέπει να απεγκαταστήσουν το Lenovo Solution Center το συντομότερο δυνατό.
Οι ερευνητές ασφαλείας στο Pen Test Partners βρήκαν μια κρίσιμη ευπάθεια στο Lenovo Solution Center που θα μπορούσε να παραχωρήσει δικαιώματα διαχειριστή σε χάκερ ή κακόβουλο λογισμικό.
Σύμφωνα με τους Pen Test Partners, το ελάττωμα είναι μια διακριτική λίστα ελέγχου πρόσβασης (DACL) που αντικαθίσταται, πράγμα που σημαίνει ότι ένας χρήστης με χαμηλό προνόμιο μπορεί να μπει κρυφά σε ένα ευαίσθητο αρχείο εκμεταλλευόμενος μια διεργασία υψηλού προνομίου. Αυτό είναι ένα παράδειγμα επίθεσης "προνομιακής κλιμάκωσης" κατά την οποία ένα σφάλμα μπορεί να χρησιμοποιηθεί για να αποκτήσει πρόσβαση σε πόρους που κανονικά είναι προσβάσιμοι μόνο από τους διαχειριστές.
Σε αυτήν την περίπτωση, ένας εισβολέας θα μπορούσε να γράψει ένα ψευδο-αρχείο (που ονομάζεται αρχείο σκληρού συνδέσμου), το οποίο, όταν εκτελείται από το Lenovo Solution Center, θα έχει πρόσβαση σε ευαίσθητα αρχεία, διαφορετικά δεν θα πρέπει να έχει πρόσβαση. Από εκεί και πέρα, θα μπορούσε να εκτελεστεί ζημιογόνος κώδικας στο σύστημα με δικαιώματα διαχειριστή ή συστήματος, το οποίο ουσιαστικά έχει τελειώσει, όπως σημειώνει το Pen Test Partners.
Το Lenovo Solution Center είναι ένα πρόγραμμα που ήταν προεγκατεστημένο σε φορητούς υπολογιστές Lenovo από το 2011 έως τον Νοέμβριο 2022-2023, πράγμα που σημαίνει ότι εκατομμύρια συσκευές θα μπορούσαν να επηρεαστούν. Κατά ειρωνικό τρόπο, ο σκοπός του προγράμματος είναι να παρακολουθεί την υγεία και την ασφάλεια ενός υπολογιστή Lenovo. Ενώ αυτό το ελάττωμα δεν είναι τόσο μεγάλο μέλημα για μεμονωμένους χρήστες που μπορούν να προστατεύσουν γρήγορα τα συστήματά τους, οι μεγαλύτερες εταιρείες που διαθέτουν στόλο παλαιότερων φορητών υπολογιστών ThinkPad και χρησιμοποιούν παλαιό λογισμικό ενδέχεται να αργήσουν να προσαρμοστούν.
Από την πλευρά της, η Lenovo δημοσίευσε μια δήλωση ασφαλείας που προειδοποιούσε τους χρήστες για το σφάλμα και τους προέτρεπε να απεγκαταστήσουν το Solution Center, το οποίο η εταιρεία δεν υποστηρίζει πλέον.
"Ένα θέμα ευπάθειας που αναφέρθηκε στο Lenovo Solution Center έκδοση 03.12.003, το οποίο δεν υποστηρίζεται πλέον, θα μπορούσε να επιτρέψει την εγγραφή αρχείων καταγραφής σε μη τυπικές τοποθεσίες, οδηγώντας ενδεχομένως σε κλιμάκωση προνομίων. Η Lenovo τερμάτισε την υποστήριξη για το Lenovo Solution Center και συνέστησε στους πελάτες να μεταναστεύσουν στο Lenovo Vantage ή Lenovo Diagnostics τον Απρίλιο2022-2023 », αναφέρεται στην ανακοίνωση.
Η Lenovo δεν διευκρίνισε πότε σταμάτησε την αποστολή φορητών υπολογιστών με προεγκατεστημένο το Solution Center, οπότε είναι πιθανό πολλοί φορητοί υπολογιστές Lenovo ηλικίας μικρότερης του ενός έτους να φέρουν μη υποστηριζόμενο λογισμικό με μεγάλα ελαττώματα.
Η Lenovo έχει επίσης κατηγορηθεί ότι κάλυψε τα κομμάτια της. Σύμφωνα με τους Pen Test Partners, αφού ενημέρωσαν τη Lenovo για το θέμα ευπάθειας, ο κατασκευαστής υπολογιστών φέρεται να μετέβαλε την ημερομηνία λήξης του Solution Center κατά αρκετούς μήνες για να φαίνεται ότι η λειτουργία διακόπηκε πριν από την τελευταία έκδοση του Νοεμβρίου2022-2023 Το
«Συχνά συμβαίνει για εφαρμογές που φτάνουν στο τέλος της υποστήριξης να συνεχίζουμε να ενημερώνουμε τις εφαρμογές καθώς μεταβαίνουμε σε νέες προσφορές, προκειμένου να διασφαλίσουμε στους πελάτες που δεν έχουν μεταβεί ή δεν επιλέγουν να εξακολουθούν να έχουν ένα ελάχιστο επίπεδο υποστήριξης, μια πρακτική που δεν είναι κάτι ασυνήθιστο στον κλάδο », δήλωσε η Lenovo στο The Register όταν ρωτήθηκε για τη διαφορά.
Είτε η Lenovo είναι πονηρή είτε όχι, η ουσία είναι η εξής: εάν διαθέτετε φορητό υπολογιστή Lenovo που κατασκευάστηκε μεταξύ 2011 και 2022-2023, τότε απαλλαγείτε απολύτως από το Lenovo Solution Center το συντομότερο δυνατό. Μπορείτε να το κάνετε ακολουθώντας αυτόν τον απλό οδηγό σχετικά με τον τρόπο κατάργησης εγκατάστασης προγραμμάτων στα Windows 10.
Το Laptop Magazine έχει επικοινωνήσει με τη Lenovo για σχόλια και θα ενημερώσουμε αυτήν την ιστορία όταν λάβουμε απάντηση.
- Πώς ένα VPN μπορεί να αυξήσει την ασφάλεια και το απόρρητό σας | Οδηγός του Τομ