Lastniki starejših prenosnih računalnikov Lenovo morajo čim prej odstraniti Lenovo Solution Center.
Varnostni raziskovalci pri Pen Test Partners so odkrili kritično ranljivost v Lenovo Solution Center, ki bi lahko predala skrbniške pravice hekerjem ali zlonamerni programski opremi.
Po navedbah Pen Test Partners je pomanjkljivost prepisovanje diskrecijskega seznama za nadzor dostopa (DACL), kar pomeni, da se lahko uporabnik z nizkimi privilegiji prikrade v občutljivo datoteko z uporabo postopka z visoko privilegiranostjo. To je primer napada na "privilegirano stopnjevanje", v katerem se lahko z napako pridobi dostop do virov, ki so običajno dostopni samo skrbnikom.
V tem primeru bi lahko napadalec napisal psevdo datoteko (imenovano datoteka trde povezave), ki bi, ko jo vodi Lenovo Solution Center, dostopala do občutljivih datotek, do katerih sicer ne bi smela dostopati. Od tam bi lahko bila škodljiva koda izvedena v sistemu s skrbniškimi ali sistemskimi pravicami, kar je v bistvu konec igre, kot ugotavlja Pen Test Partners.
Lenovo Solution Center je program, ki je bil na prenosnih računalnikih Lenovo vnaprej nameščen od leta 2011 do novembra 2022-2023–2022, kar pomeni, da bi to lahko vplivalo na milijone naprav. Ironično je, da je namen programa spremljati zdravje in varnost računalnika Lenovo. Čeprav ta napaka ni tako velika skrb za posamezne uporabnike, ki lahko hitro zaščitijo svoje sisteme, se lahko velika podjetja, ki imajo v lasti floto starejših prenosnih računalnikov ThinkPad in uporabljajo starejšo programsko opremo, počasi prilagajajo.
Lenovo je objavil varnostno izjavo, ki je uporabnike opozorila na napako in jih pozvala, naj odstranijo Center rešitev, ki ga podjetje ne podpira več.
"Ranljivost, o kateri poročajo v Lenovo Solution Center različici 03.12.003, ki ni več podprta, bi lahko omogočila zapisovanje dnevniških datotek na nestandardne lokacije, kar bi lahko povzročilo povečanje privilegijev. Lenovo je prenehal s podporo za Lenovo Solution Center in strankam priporočil selitev družbi Lenovo Vantage ali Lenovo Diagnostics aprila 2022-2023–2022, «piše v izjavi.
Lenovo ni navedel, kdaj je prenehal pošiljati prenosnike z vnaprej nameščenim centrom rešitev, zato je možno, da imajo številni prenosniki Lenovo, mlajši od enega leta, nepodprto programsko opremo z večjimi napakami.
Lenovo so obtožili tudi, da pokriva svoje sledi. Po navedbah Pen Test Partners, potem ko so Lenovo obvestili o ranljivosti, je proizvajalec računalnikov domnevno za več mesecev odpravil datum izteka življenjske dobe centra za rešitve, da bi bilo videti, kot da je bila funkcija ukinjena pred izidom zadnje različice novembra 2022-2023–2022 .
"Za aplikacije, ki dosežejo konec podpore, pogosto nadaljujemo s posodabljanjem aplikacij, ko prehajamo na nove ponudbe, da strankam, ki niso prešle ali se odločijo, da bodo še vedno imele minimalno raven podpore, praksa, ki ni redkost v industriji, "je Lenovo povedal The Register na vprašanje o odstopanju.
Ne glede na to, ali je Lenovo zvijačen ali ne, je bistvo naslednje: če imate prenosnik Lenovo, izdelan med letoma 2011 in 2022-2023, se čim prej znebite Lenovo Solution Center. To lahko storite tako, da sledite tem preprostim navodilom, kako odstraniti programe v sistemu Windows 10.
Revija Laptop se je obrnila na Lenovo za komentar, ko bomo prejeli odgovor, bomo to zgodbo posodobili.
- Kako lahko VPN poveča vašo varnost in zasebnost | Tomov vodič