聯想電腦預裝管理軟體暗藏可被駭客接管系統的漏洞

聯想一個存在於大部份筆電內的裝置管理軟體，被安全廠商揭露含有漏洞，可使駭客取得管理員權限執行程式，甚至接管裝置。研究人員還發現，這個軟體可能在去年最後版本釋出前，就被宣布終止支援（EOL）。

編號為CVE-2019-6177的漏洞，由安全廠商Pentest Partners在聯想Lenovo Solution Centre（LSC）軟體中發現，影響03.12.003版本。LSC是從2011年開始，預安裝在所有聯想筆電、平板等裝置中，所以聯想產品存在風險可能高達8年之久。

這項漏洞來自判別式存取控制表（Discretionary Access Control List，DACL）覆寫，即電腦中高權限的行程，無差別覆寫掉低權限用戶可控制的檔案權限。

研究人員解釋，高權限行程賦予所有系統用戶該檔案的完整控制權。低權限用戶可撰寫一個「永久連結」（hardlink）檔案指向系統上任何其他檔案，包括他沒有存取權限的。而當聯想電腦行程一經執行，就能以高權限覆寫掉被連結檔案的權限，而使低權限使用者取得他原本沒有的檔案存取權限，使其得以用管理員或系統權限，執行任意程式碼。在LSC的案例中，在用戶登入後10分鐘，LSC就會執行高權限的排程作業，駭客可利用其排程作業執行權限升級攻擊。研究人員呼籲聯想用戶電腦及早移除LSC。

這次漏洞揭露案還出現一段插曲。5月間研究人員通報聯想時，聯想表示LSC在2018年11月30日釋出最後一版。但是根據聯想最新安全公告，LSC早在2018年4月就抵達生命周期終點（End of Life，EOL），聯想呼籲用戶升級到Lenovo Diagnostics，也就是說，LSC 最後一個版本釋出前，支援就已終止。

The Register引述聯想的說法指出，在過渡到新軟體前持續更新舊軟體，以提供用戶最低限度的安全保障，這在業界其實是很普遍的作法。

這並非聯想筆電的LSC首次出包。2015年LSC被研究人員發現暗藏發送惡意廣告的惡意程式Superfish，隔年又被揭露二款可執行系統程式碼及跨站請求偽造（CSRF）的重大漏洞。