联想一个存在于大部份笔记本电脑内的装置管理软件,被安全厂商揭露含有漏洞,可使黑客取得管理员权限执行程序,甚至接管装置。研究人员还发现,这个软件可能在去年最后版本释出前,就被宣布终止支持(EOL)。
编号为CVE-2019-6177的漏洞,由安全厂商Pentest Partners在联想Lenovo Solution Centre(LSC)软件中发现,影响03.12.003版本。LSC是从2011年开始,预安装在所有联想笔记本电脑、平板等装置中,所以联想产品存在风险可能高达8年之久。
这项漏洞来自判别式访问控制表(Discretionary Access Control List,DACL)复写,即电脑中高权限的行程,无差别复写掉低权限用户可控制的档案权限。
研究人员解释,高权限行程赋予所有系统用户该档案的完整控制权。低权限用户可撰写一个"永久连结"(hardlink)档案指向系统上任何其他档案,包括他没有存取权限的。而当联想电脑行程一经执行,就能以高权限复写掉被连结档案的权限,而使低权限使用者取得他原本没有的档案存取权限,使其得以用管理员或系统权限,执行任意代码。在LSC的案例中,在用户登入后10分钟,LSC就会执行高权限的排程作业,黑客可利用其排程作业执行权限升级攻击。研究人员呼吁联想用户电脑及早移除LSC。
这次漏洞揭露案还出现一段插曲。5月间研究人员通报联想时,联想表示LSC在2018年11月30日释出最后一版。但是根据联想最新安全公告,LSC早在2018年4月就抵达生命周期终点(End of Life,EOL),联想呼吁用户升级到Lenovo Diagnostics,也就是说,LSC最后一个版本释出前,支持就已终止。
The Register引述联想的说法指出,在过渡到新软件前持续更新旧软件,以提供用户最低限度的安全保障,这在业界其实是很普遍的作法。
这并非联想笔记本电脑的LSC首次出包。2015年LSC被研究人员发现暗藏发送恶意广告的恶意程式Superfish,隔年又被揭露二款可执行系统代码及跨站请求伪造(CSRF)的重大漏洞。
资料来源:iThome Security
