Власникам старих ноутбуків Lenovo потрібно якнайшвидше видалити Lenovo Solution Center.
Дослідники з безпеки компанії Pen Test Partners виявили критичну вразливість у Центрі рішень Lenovo, яка могла б передати права адміністратора хакерам або шкідливим програмам.
За словами Pen Test Partners, вадою є дискреційне переписування списку контролю доступу (DACL), що означає, що малопривілейований користувач може проникнути у конфіденційний файл, використовуючи високопривілейований процес. Це приклад атаки "привілейованої ескалації", в якій помилка може бути використана для отримання доступу до ресурсів, які зазвичай доступні лише адміністраторам.
У цьому випадку зловмисник може написати псевдофайл (який називається файлом жорсткої посилання), який під час роботи Lenovo Solution Center отримає доступ до конфіденційних файлів, до яких він не міг би потрапити. З цього моменту шкідливий код може бути виконаний у системі з правами адміністратора або системи, що, як зазначає Pen Test Partners, практично закінчується грою.
Lenovo Solution Center-це програма, яка була попередньо встановлена на ноутбуках Lenovo з 2011 року до листопада 2022-2023 років, що означає, що це може вплинути на мільйони пристроїв. Як не дивно, але метою програми є моніторинг стану та безпеки ПК Lenovo. Хоча ця помилка не є такою великою проблемою для окремих користувачів, які можуть швидко захистити свої системи, більші компанії, які володіють парком старих ноутбуків ThinkPad і використовують застаріле програмне забезпечення, можуть адаптуватися повільно.
Зі свого боку, Lenovo опублікувала заяву про безпеку, яка попереджає користувачів про помилку та закликає їх видалити Центр рішень, який компанія більше не підтримує.
"Уразливість, про яку повідомляється у Lenovo Solution Center версії 03.12.003, яка більше не підтримується, може дозволити запис файлів журналів у нестандартні місця, що потенційно може призвести до збільшення привілеїв. Lenovo припинила підтримку Lenovo Solution Center і рекомендувала клієнтам мігрувати Lenovo Vantage або Lenovo Diagnostics у квітні 2022-2023 років ",-йдеться у повідомленні.
Lenovo не уточнила, коли припинила доставку ноутбуків із попередньо встановленим Solution Center, тому цілком можливо, що багато ноутбуків Lenovo, яким менше одного року, мають непідтримуване програмне забезпечення з серйозними вадами.
Lenovo також звинувачують у прикритті своїх слідів. За словами Pen Test Partners, після того, як вони повідомили Lenovo про вразливість, виробник комп’ютерів нібито відмінив дату закінчення терміну служби Центру рішень на кілька місяців, щоб здавалося, що ця функція була припинена до виходу останньої версії у листопаді 2022-2023 років .
"Часто для програм, які досягають кінця підтримки, ми продовжуємо оновлювати програми, коли ми переходимо на нові пропозиції, щоб забезпечити клієнтів, які не перейшли або вирішили не мати, все ще мають мінімальний рівень підтримки, практика, яка це не рідкість у галузі ", - заявила Lenovo The Register на запитання про розбіжності.
Незалежно від того, чи Lenovo підступний, чи ні, підсумок такий: якщо у вас є ноутбук Lenovo, вироблений у період з 2011 по 2022-2023 роки, то якнайшвидше позбудьтеся Lenovo Solution Center. Ви можете зробити це, дотримуючись цього простого посібника про те, як видалити програми у Windows 10.
Журнал для ноутбуків звернувся до Lenovo за коментарем, і ми оновимо цю історію, коли отримаємо відповідь.
- Як VPN може підвищити вашу безпеку та конфіденційність | Посібник Тома