USD 92.26 ЕВРО 99.71

Lenovo исправляет серьезные уязвимости в инструменте обновления своих ПК

Экономика

Эти уязвимости делают возможным получение доступа злоумышленниками к ограниченным учетным записям, а затем повышение привилегий до уровня администратора

Уже в третий раз, менее чем за шесть месяцев, проблемы безопасности заставили Lenovo обновить один из инструментов, предустановленный на компьютерах компании.

На прошлой неделе компания выпустила версию 5.07.0019 своего инструмента Lenovo System Update, который помогает пользователям обновлять драйверы и BIOS компьютеров, известный ранее как ThinkVantage System Update. В новой версии исправлены две уязвимости эскалации привилегий, обнаруженные исследователями из фирмы IOActive.

Одна из уязвимых находится в справочной системе инструмента, и позволяет пользователям ограниченных аккаунтов Windows запустить экземпляр Internet Explorer с правами администратора, нажав на URL, размещенный на странице Помощи. Это происходит потому, что система Lenovo System Update работает под временной учетной записью администратора, которую приложение создает при установке, а любой процесс, который она запускает, будет работать под той же учетной записью.

«Оттуда, непривилегированный злоумышленник имеет множество способов эксплуатации экземпляра веб-браузера, работающего под правами администратора, что позволяет повысить привилегии до уровня Администратора или Системы», говорит исследователь IOActive Софиан Толмат.

Вторая уязвимость связана также с временной учетной записью администратора. В частности, со способом генерации имени пользователя и пароля.

Имя пользователя использует шаблон tvsu_tmp_xxxxxXXXXX, где каждая х является случайным образом выбранной строчной буквой, а каждая Х — случайным образом выбранной прописной буквой. Тем не менее, функция случайного выбора буквы привязана к текущему времени, что делает ее выход предсказуемым.

«Злоумышленник может восстановить то же имя пользователя, основанное на времени создания аккаунта», сказал Талмат.

Функция генерации паролей использует два метода — безопасный и запасной, который также является предсказуемым. Это означает, что в определенных ситуациях злоумышленник может угадать как имя пользователя, так и пароль, и получить административные привилегии.

Lenovo System Update получил два других исправления в этом году: один в июле и один в октябре. Эти обновления исправляют уязвимости, которые могут позволить злоумышленникам выполнять команды через приложение или заменять легитимные обновления вредоносными программами.