Onderzoekers hebben een kritieke kwetsbaarheid gevonden in Lenovo Solution Center, die malware of adminrechten kan overdragen aan een aanvaller. Eigenaars van oudere Lenovo-laptops kunnen de software maar beter zo snel mogelijk verwijderen.
Lenovo Solution Center is een programma dat tussen 2011 en november 2018 vooraf werd geïnstalleerd op Lenovo-laptops. Dit betekent dat miljoenen apparaten kunnen worden getroffen, aldus Tom’s Guide. De computerfabrikant heeft overigens niet aangegeven wanneer het gestopt is met het verzenden van laptops waarop Solution Center vooraf is geïnstalleerd. Er bestaat dus een mogelijkheid dat ook Lenovo-laptops die minder dan een jaar oud zijn de bug bevatten.
Logbestanden
“De kwetsbaarheid in Lenovo Solution Center versie 03.12.003, die niet langer wordt ondersteund, kan ervoor zorgen dat logbestanden naar niet-standaardlocaties kunnen worden geschreven. Dit kan mogelijk leiden tot escalatie van bevoegdheden. Lenovo heeft de ondersteuning voor Lenovo Solution Center al in april 2018 beëindigd. We hebben klanten toen al aangeraden te migreren naar Lenovo Vantage of Lenovo Diagnostics”, aldus Lenovo in een verklaring. De fabrikant spoort gebruikers aan om Solution Center te verwijderen.
DACL
Volgens beveiligingsonderzoekers van Pen Test Partners, die de kwetsbaarheid vonden, betreft de fout een discretionaire toegangscontrolelijst (DACL) die wordt overschreven. Hierdoor kan iemand met weinig gebruikersrechten een gevoelig bestand binnensluipen door een proces met hoge rechten te exploiteren. De bug kan zo worden gebruikt om toegang te krijgen tot bronnen die normaal alleen toegankelijk zijn voor beheerders.
Een aanvaller kan hierdoor een pseudo-bestand of hardlink-bestand schrijven, dat – wanneer uitgevoerd door Lenovo Solution Center – toegang krijgt tot gevoelige bestanden, die anders niet bereikt zouden mogen worden. Vervolgens kan van daaruit schadelijke code worden uitgevoerd op het systeem met beheerder- of systeemrechten. Ironisch genoeg is het doel van Lenovo Solution Center juist het bewaken van de gezondheid en beveiliging van een Lenovo-pc.
‘Sporen weggepoetst’
Pen Test Partners beschuldigt Lenovo van het wegpoetsen van zijn sporen. Dat zou gebeurd zijn nadat het beveiligingsbedrijf de fabrikant op de hoogte had gesteld van het beveiligingslek. Zo zou Lenovo de end-of-life-datum van Solution Center enkele maanden hebben teruggedraaid. De fabrikant wil volgens Pen Test Partners de indruk wekken dat de functie al was stopgezet, voordat de laatste versie in november 2018 werd uitgebracht.
Lenovo spreekt dat stellig tegen: “Voor applicaties waarvan de support afloopt, is het normaal dat we deze blijven updaten naarmate we overstappen op nieuwe aanbiedingen. Dat doen we om ervoor te zorgen dat klanten die niet zijn overgeschakeld nog steeds een minimaal niveau van ondersteuning hebben. Die handeling is niet ongewoon in de industrie.”
Gerelateerd: Lenovo en Intel werken nauwer samen voor integratie HPC en AI