Ägare till äldre bärbara Lenovo -bärbara datorer måste avinstallera Lenovo Solution Center så snart som möjligt.
Säkerhetsforskare på Pen Test Partners fann en kritisk sårbarhet i Lenovo Solution Center som kan överlåta administratörsrättigheter till hackare eller skadlig kod.
Enligt Pen Test Partners är bristen en diskretionär åtkomstkontrollista (DACL) som skriver över, vilket innebär att en lågprivilegierad användare kan smyga in i en känslig fil genom att utnyttja en högprivilegierad process. Detta är ett exempel på en "privilegierad eskalering" -attack där en bugg kan användas för att få tillgång till resurser som normalt bara är tillgängliga för administratörer.
I det här fallet kan en angripare skriva en pseudofil (kallad en hård länkfil) som, när den körs av Lenovo Solution Center, skulle komma åt känsliga filer som den annars inte borde få nå. Därifrån kan skadlig kod köras på systemet med administratörs- eller systemrättigheter, vilket i princip är över, som Pen Test Partners noterar.
Lenovo Solution Center är ett program som förinstallerades på Lenovo-bärbara datorer från 2011 fram till november2021-2022, vilket innebär att miljontals enheter kan påverkas. Ironiskt nog är programmets syfte att övervaka hälsan och säkerheten för en Lenovo -dator. Även om denna brist inte är så stor för enskilda användare som snabbt kan skydda sina system, kan större företag som äger en flotta av äldre ThinkPad -bärbara datorer och använder äldre programvara vara långsamma att anpassa sig.
För sin del publicerade Lenovo ett säkerhetsuttalande som varnade användare om felet och uppmanade dem att avinstallera Solution Center, som företaget inte längre stöder.
"En sårbarhet som rapporteras i Lenovo Solution Center version 03.12.003, som inte längre stöds, kan göra det möjligt att skriva loggfiler till icke-standardiserade platser, vilket kan leda till eskalering av privilegier. Lenovo avslutade supporten för Lenovo Solution Center och rekommenderade att kunder migrerade till Lenovo Vantage eller Lenovo Diagnostics i april2022-2023 ", står det i uttalandet.
Lenovo specificerade inte när det slutade leverera bärbara datorer med Solution Center förinstallerat, så det är möjligt att många Lenovo-bärbara datorer som är mindre än ett år gamla har programvara som inte stöds med stora brister.
Lenovo har också anklagats för att täcka sina spår. Enligt Pen Test Partners, efter att de informerat Lenovo om sårbarheten, ska datortillverkaren ha rullat tillbaka Solution Centers utgångsdatum med flera månader för att få det att verka som om funktionen avbröts innan den senaste versionen släpptes i november2022-2023 .
"Det är ofta så för applikationer som når supportens slut att vi fortsätter att uppdatera applikationerna när vi övergår till nya erbjudanden är att säkerställa att kunder som inte har övergått, eller väljer att inte, fortfarande har en minimal supportnivå, en praxis som är inte ovanligt i branschen, säger Lenovo till The Register när han tillfrågas om skillnaden.
Oavsett om Lenovo är lurig eller inte, är slutresultatet detta: om du äger en Lenovo-bärbar dator tillverkad mellan 2011 och 2022-2023-2022, bli av med Lenovo Solution Center så snart som möjligt. Du kan göra det genom att följa den här enkla guiden om hur du avinstallerar program på Windows 10.
Laptop Magazine har kontaktat Lenovo för kommentarer, och vi kommer att uppdatera den här historien när vi får ett svar.
- Hur ett VPN kan öka din säkerhet och integritet | Toms guide