Majitelia starších notebookov Lenovo musia čo najskôr odinštalovať Lenovo Solution Center.
Výskumní pracovníci v oblasti zabezpečenia z Pen Test Partners zistili kritickú zraniteľnosť v Centre riešení Lenovo, ktorá by mohla udeliť oprávnenia správcu hackerom alebo malvéru.
Podľa Pen Test Partners je chybou prepísanie zoznamu ľubovoľného prístupu (DACL), čo znamená, že užívateľ s nízkymi oprávneniami sa môže vkradnúť do citlivého súboru využitím vysoko privilegovaného procesu. Je to príklad útoku „privilegovanej eskalácie“, pri ktorom je možné pomocou chyby získať prístup k zdrojom, ktoré sú za normálnych okolností prístupné iba správcom.
V takom prípade môže útočník napísať pseudosúbor (nazývaný súbor s pevným odkazom), ktorý by po spustení v aplikácii Lenovo Solution Center sprístupnil citlivé súbory, ku ktorým by sa inak nemal dostať. Odtiaľ by mohol byť poškodený kód spustený v systéme s oprávneniami správcu alebo systému, čo je v zásade koniec hry, ako poznamenáva Pen Test Partners.
Lenovo Solution Center je program, ktorý bol predinštalovaný na prenosných počítačoch Lenovo od roku 2011 do novembra 2022-2023, čo znamená, že môžu byť ovplyvnené milióny zariadení. Je iróniou, že účelom programu je monitorovať zdravie a zabezpečenie počítača Lenovo. Aj keď táto chyba nie je veľkým problémom pre jednotlivých používateľov, ktorí môžu rýchlo chrániť svoje systémy, väčším spoločnostiam, ktoré vlastnia flotilu starších prenosných počítačov ThinkPad a používajú starší softvér, sa môže adaptovať pomaly.
Spoločnosť Lenovo zverejnila bezpečnostné vyhlásenie, v ktorom používateľov upozornila na chybu a vyzvala ich, aby si odinštalovali Centrum riešení, ktoré spoločnosť už nepodporuje.
"Zraniteľnosť hlásená v Lenovo Solution Center verzii 03.12.003, ktorá už nie je podporovaná, by mohla umožniť zápis súborov denníka na neštandardné umiestnenia, čo by mohlo viesť k eskalácii oprávnení. Spoločnosť Lenovo ukončila podporu pre Lenovo Solution Center a odporučila zákazníkom migrovať na Lenovo Vantage alebo Lenovo Diagnostics v apríli 2022-2023, “uvádza sa vo vyhlásení.
Spoločnosť Lenovo nešpecifikovala, kedy prestala dodávať prenosné počítače s predinštalovaným riešením Center, takže je možné, že mnoho notebookov Lenovo mladších ako jeden rok má nepodporovaný softvér s veľkými chybami.
Lenovo bolo obvinené aj z prekrytia stôp. Podľa spoločnosti Pen Test Partners, keď výrobca počítačov informoval spoločnosť Lenovo o zraniteľnosti, údajne vrátil dátum ukončenia životnosti centra riešení o niekoľko mesiacov, aby sa zdalo, že táto funkcia bola ukončená pred vydaním poslednej verzie v novembri 2022-2023. .
„V prípade aplikácií, ktoré dosahujú koniec podpory, sa často stáva, že pokračujeme v aktualizácii aplikácií, pretože pri prechode na nové ponuky je zaistenie toho, aby zákazníci, ktorí neprešli alebo sa rozhodnú nie, mali stále minimálnu úroveň podpory, čo je postup, ktorý v tomto odvetví nie je nezvyčajné, “odpovedalo Lenovo pre Register na otázku, že ide o nezrovnalosť.
Bez ohľadu na to, či je spoločnosť Lenovo šibalská alebo nie, konečný súčet je tento: ak vlastníte prenosný počítač Lenovo vyrobený v rokoch 2011 až 2022-2023, čo najskôr sa programu Lenovo Solution Center úplne zbavte. Môžete to urobiť podľa tohto jednoduchého sprievodcu odinštalovaním programov v systéme Windows 10.
Časopis Laptop sa obrátil na spoločnosť Lenovo s pripomienkou a tento príbeh aktualizujeme, keď dostaneme odpoveď.
- Ako môže sieť VPN zvýšiť vašu bezpečnosť a súkromie | Tomov sprievodca