聯想筆電示意圖,iThome檔案照。

聯想一個存在於大部份筆電內的裝置管理軟體,被安全廠商揭露含有漏洞,可使駭客取得管理員權限執行程式,甚至接管裝置。研究人員還發現,這個軟體可能在去年最後版本釋出前,就被宣布終止支援(EOL)。

編號為CVE-2019-6177的漏洞,由安全廠商Pentest Partners在聯想Lenovo Solution Centre(LSC)軟體中發現,影響03.12.003版本。LSC是從2011年開始,預安裝在所有聯想筆電、平板等裝置中,所以聯想產品存在風險可能高達8年之久。

這項漏洞來自判別式存取控制表(Discretionary Access Control List,DACL)覆寫,即電腦中高權限的行程,無差別覆寫掉低權限用戶可控制的檔案權限。

研究人員解釋,高權限行程賦予所有系統用戶該檔案的完整控制權。低權限用戶可撰寫一個「永久連結」(hardlink)檔案指向系統上任何其他檔案,包括他沒有存取權限的。而當聯想電腦行程一經執行,就能以高權限覆寫掉被連結檔案的權限,而使低權限使用者取得他原本沒有的檔案存取權限,使其得以用管理員或系統權限,執行任意程式碼。在LSC的案例中,在用戶登入後10分鐘,LSC就會執行高權限的排程作業,駭客可利用其排程作業執行權限升級攻擊。研究人員呼籲聯想用戶電腦及早移除LSC。

這次漏洞揭露案還出現一段插曲。5月間研究人員通報聯想時,聯想表示LSC在2018年11月30日釋出最後一版。但是根據聯想最新安全公告,LSC早在2018年4月就抵達生命周期終點(End of Life,EOL),聯想呼籲用戶升級到Lenovo Diagnostics,也就是說,LSC 最後一個版本釋出前,支援就已終止。

The Register引述聯想的說法指出,在過渡到新軟體前持續更新舊軟體,以提供用戶最低限度的安全保障,這在業界其實是很普遍的作法。

這並非聯想筆電的LSC首次出包。2015年LSC被研究人員發現暗藏發送惡意廣告的惡意程式Superfish,隔年又被揭露二款可執行系統程式碼及跨站請求偽造(CSRF)的重大漏洞。


Advertisement

更多 iThome相關內容