Eigenaren van oudere Lenovo-laptops moeten Lenovo Solution Center zo snel mogelijk verwijderen.
Beveiligingsonderzoekers bij Pen Test Partners hebben een kritieke kwetsbaarheid gevonden in het Lenovo Solution Center waardoor beheerdersrechten kunnen worden overgedragen aan hackers of malware.
Volgens Pen Test Partners is de fout een overschrijving van de discretionaire toegangsbeheerlijst (DACL), wat betekent dat een gebruiker met weinig bevoegdheden een gevoelig bestand kan binnensluipen door gebruik te maken van een proces met hoge bevoegdheden. Dit is een voorbeeld van een "geprivilegieerde escalatie"-aanval waarbij een bug kan worden gebruikt om toegang te krijgen tot bronnen die normaal alleen toegankelijk zijn voor beheerders.
In dit geval zou een aanvaller een pseudo-bestand kunnen schrijven (een hard link-bestand genoemd) dat, wanneer het wordt uitgevoerd door Lenovo Solution Center, toegang zou krijgen tot gevoelige bestanden die het anders niet zou mogen bereiken. Van daaruit kan schadelijke code op het systeem worden uitgevoerd met beheerders- of systeemrechten, wat eigenlijk game-over is, zoals Pen Test Partners opmerkt.
Lenovo Solution Center is een programma dat van 2011 tot november 2022-2023 vooraf op Lenovo-laptops was geïnstalleerd, wat betekent dat miljoenen apparaten kunnen worden getroffen. Ironisch genoeg is het doel van het programma om de gezondheid en veiligheid van een Lenovo-pc te bewaken. Hoewel deze fout niet zo'n grote zorg is voor individuele gebruikers die hun systemen snel kunnen beschermen, kunnen grotere bedrijven die een vloot van oudere ThinkPad-laptops bezitten en legacy-software gebruiken zich traag aanpassen.
Lenovo van zijn kant heeft een beveiligingsverklaring gepubliceerd waarin gebruikers worden gewaarschuwd voor de bug en er bij hen op wordt aangedrongen om Solution Center te verwijderen, wat het bedrijf niet langer ondersteunt.
"Een kwetsbaarheid gerapporteerd in Lenovo Solution Center versie 03.12.003, die niet langer wordt ondersteund, kan ertoe leiden dat logbestanden naar niet-standaard locaties worden geschreven, wat kan leiden tot escalatie van bevoegdheden. Lenovo beëindigde de ondersteuning voor Lenovo Solution Center en raadde klanten aan te migreren naar Lenovo Vantage of Lenovo Diagnostics in april 2022-2023", luidt de verklaring.
Lenovo heeft niet gespecificeerd wanneer het stopt met het verzenden van laptops waarop Solution Center vooraf is geïnstalleerd, dus het is mogelijk dat veel Lenovo-laptops die minder dan een jaar oud zijn, niet-ondersteunde software bevatten met grote gebreken.
Lenovo is er ook van beschuldigd zijn sporen uit te wissen. Volgens Pen Test Partners zou de computermaker, nadat ze Lenovo op de hoogte hadden gesteld van de kwetsbaarheid, de einddatum van het Solution Center met enkele maanden terugdraaien om het te laten lijken alsof de functie was stopgezet voordat de laatste versie werd uitgebracht in november 2022-2023 .
"Het is vaak het geval voor applicaties die het einde van de ondersteuning bereiken dat we de applicaties blijven updaten terwijl we overstappen naar nieuwe aanbiedingen om ervoor te zorgen dat klanten die niet zijn overgestapt, of ervoor kiezen om niet over te stappen, nog steeds een minimaal ondersteuningsniveau hebben, een praktijk die is niet ongebruikelijk in de branche", vertelde Lenovo aan The Register toen hem werd gevraagd naar de discrepantie.
Of Lenovo nu sluw is of niet, het komt erop neer dat als je een Lenovo-laptop hebt die is geproduceerd tussen 2011 en 2022-2023, je Lenovo Solution Center absoluut zo snel mogelijk moet verwijderen. U kunt dit doen door deze eenvoudige handleiding te volgen over het verwijderen van programma's op Windows 10.
Laptop Magazine heeft contact opgenomen met Lenovo voor commentaar en we zullen dit verhaal bijwerken wanneer we een antwoord ontvangen.
- Hoe een VPN uw veiligheid en privacy kan verbeteren | Tom's gids