Ejere af ældre Lenovo -bærbare computere skal afinstallere Lenovo Solution Center så hurtigt som muligt.
Sikkerhedsforskere hos Pen Test Partners fandt en kritisk sårbarhed i Lenovo Solution Center, der kunne overdrage administratorrettigheder til hackere eller malware.
Ifølge Pen Test Partners er fejlen en diskretionær adgangskontroliste (DACL), der overskriver, hvilket betyder, at en lavprivilegeret bruger kan snige sig ind i en følsom fil ved at udnytte en højprivilegeret proces. Dette er et eksempel på et "privilegeret eskaleringsangreb", hvor en fejl kan bruges til at få adgang til ressourcer, der normalt kun er tilgængelige for administratorer.
I dette tilfælde kunne en angriber skrive en pseudo-fil (kaldet en hardlink-fil), som, når den køres af Lenovo Solution Center, ville få adgang til følsomme filer, den ellers ikke burde have lov til at nå. Derfra kunne skadelig kode udføres på systemet med administrator- eller systemprivilegier, hvilket i bund og grund er game over, som Pen Test Partners bemærker.
Lenovo Solution Center er et program, der var forudinstalleret på Lenovo-bærbare computere fra 2011 og frem til november2021-2022, hvilket betyder, at millioner af enheder kan blive påvirket. Ironisk nok er programmets formål at overvåge helbred og sikkerhed for en Lenovo -pc. Selvom denne fejl ikke er så stor bekymring for individuelle brugere, der hurtigt kan beskytte deres systemer, kan større virksomheder, der ejer en flåde af ældre ThinkPad -bærbare computere og bruger ældre software, være langsomme med at tilpasse sig.
For sin del offentliggjorde Lenovo en sikkerhedserklæring, der advarede brugere om fejlen og opfordrede dem til at afinstallere Solution Center, som virksomheden ikke længere understøtter.
"En sårbarhed rapporteret i Lenovo Solution Center version 03.12.003, som ikke længere understøttes, kunne tillade, at logfiler skrives til ikke-standardiserede placeringer, hvilket potentielt kan føre til eskalering af privilegier. Lenovo afsluttede support til Lenovo Solution Center og anbefalede, at kunder migrerer til Lenovo Vantage eller Lenovo Diagnostics i april2021-2022, "lyder det i erklæringen.
Lenovo angav ikke, hvornår det stoppede med at sende bærbare computere med Solution Center forudinstalleret, så det er muligt, at mange Lenovo-bærbare computere, der er mindre end et år gamle, bærer ikke-understøttet software med store fejl.
Lenovo er også blevet beskyldt for at have dækket sine spor. Ifølge Pen Test Partners, efter at de havde informeret Lenovo om sårbarheden, har computerproducenten angiveligt tilbageført Solution Center's udløbsdato med flere måneder for at få det til at se ud som om funktionen blev afbrudt, inden den sidste version blev frigivet i november2022-2023 .
"Det er ofte tilfældet for applikationer, der når slutningen af support, at vi fortsætter med at opdatere applikationerne, når vi overgår til nye tilbud, er at sikre, at kunder, der ikke har overgået, eller vælger ikke, stadig har et minimalt supportniveau, en praksis, der er ikke ualmindeligt i branchen, "sagde Lenovo til The Register, da han blev spurgt om uoverensstemmelsen.
Uanset om Lenovo er snu eller ej, er bundlinjen dette: Hvis du ejer en Lenovo-bærbar computer, der er fremstillet mellem 2011 og2021-2022, skal du absolut slippe af med Lenovo Solution Center så hurtigt som muligt. Du kan gøre det ved at følge denne enkle guide til, hvordan du afinstallerer programmer på Windows 10.
Laptop Magazine har kontaktet Lenovo for at få kommentarer, og vi opdaterer denne historie, når vi modtager et svar.
- Hvordan en VPN kan øge din sikkerhed og dit privatliv | Toms vejledning