Majitelé starších notebooků Lenovo musí co nejdříve odinstalovat Lenovo Solution Center.
Výzkumníci v oblasti zabezpečení v Pen Test Partners našli v centru Lenovo Solution Center kritickou chybu zabezpečení, která by mohla předávat oprávnění správce hackerům nebo malwaru.
Podle Pen Test Partners je chybou přepsání seznamu DACL (Discgressional Access Control List), což znamená, že uživatel s nízkými oprávněními se může vplížit do citlivého souboru využíváním vysoce privilegovaného procesu. Toto je příklad útoku „privilegované eskalace“, při kterém lze pomocí chyby získat přístup ke zdrojům, které jsou normálně přístupné pouze správcům.
V takovém případě by útočník mohl napsat pseudosoubor (nazývaný soubor s pevným odkazem), který by při spuštění Lenovo Solution Center měl přístup k citlivým souborům, ke kterým by se jinak neměl dostat. Odtud by mohl být škodlivý kód spuštěn v systému s oprávněními správce nebo systému, což je v podstatě konec hry, jak poznamenává Pen Test Partners.
Lenovo Solution Center je program, který byl předinstalován na laptopech Lenovo od roku 2011 do listopadu 2022-2023–2022, což znamená, že by mohly být ovlivněny miliony zařízení. Ironií je, že účelem programu je monitorovat stav a zabezpečení počítače Lenovo. Ačkoli tato chyba není tak velkým problémem pro jednotlivé uživatele, kteří mohou rychle chránit své systémy, větší společnosti, které vlastní flotilu starších notebooků ThinkPad a používají starší software, se mohou pomalu adaptovat.
Společnost Lenovo zveřejnila prohlášení o zabezpečení, které uživatele varovalo před chybou a vyzvalo je, aby odinstalovali Centrum řešení, které společnost již nepodporuje.
"Zranitelnost hlášená v Lenovo Solution Center verze 03.12.003, která již není podporována, by mohla umožnit zápis souborů protokolu do nestandardních umístění, což by mohlo vést k eskalaci oprávnění. Lenovo ukončilo podporu pro Lenovo Solution Center a doporučilo zákazníkům migrovat na Lenovo Vantage nebo Lenovo Diagnostics v dubnu 2022-2023, “stojí v prohlášení.
Společnost Lenovo nespecifikovala, kdy přestala dodávat notebooky s předinstalovaným řešením Center, takže je možné, že mnoho notebooků Lenovo mladších než jeden rok má nepodporovaný software s velkými nedostatky.
Lenovo bylo také obviněno z zakrývání svých stop. Podle Pen Test Partners poté, co informovali Lenovo o zranitelnosti, výrobce počítačů údajně vrátil datum konce životnosti centra řešení o několik měsíců, aby to vypadalo, že tato funkce byla ukončena před vydáním poslední verze v listopadu 2022-2023. .
„U aplikací, které dosáhnou konce podpory, často platí, že při jejich přechodu na nové nabídky pokračujeme v jejich aktualizaci, abychom zajistili, že zákazníci, kteří nepřešli, nebo se rozhodnou ne, mají stále minimální úroveň podpory, což je postup, který není v oboru neobvyklé, “řekl Lenovo The Register na dotaz ohledně nesrovnalosti.
Ať už je Lenovo lstivé nebo ne, konečný výsledek je tento: pokud vlastníte notebook Lenovo vyrobený v letech 2011 až 2022-2023, pak se Lenovo Solution Center co nejdříve zbavte. Můžete to provést podle tohoto jednoduchého průvodce, jak odinstalovat programy v systému Windows 10.
Laptop Magazine se obrátil na Lenovo o vyjádření a tento příběh aktualizujeme, jakmile obdržíme odpověď.
- Jak může VPN zvýšit vaši bezpečnost a soukromí | Tomův průvodce