Vanhempien Lenovo -kannettavien omistajien on poistettava Lenovo Solution Centerin asennus mahdollisimman pian.
Pen Test Partnersin tietoturvatutkijat löysivät Lenovon ratkaisukeskuksesta kriittisen haavoittuvuuden, joka voi antaa järjestelmänvalvojan oikeudet hakkereille tai haittaohjelmille.
Pen Test Partnersin mukaan vika on harkinnanvaraisen pääsynhallintaluettelon (DACL) korvaus, mikä tarkoittaa, että heikosti oikeutettu käyttäjä voi hiipiä arkaluontoiseen tiedostoon hyödyntämällä korkean etuoikeuden omaavaa prosessia. Tämä on esimerkki "etuoikeutetusta eskaloitumishyökkäyksestä", jossa virheen avulla voidaan päästä käsiksi resursseihin, jotka ovat yleensä vain järjestelmänvalvojien käytettävissä.
Tässä tapauksessa hyökkääjä voi kirjoittaa pseudotiedoston (jota kutsutaan kovalinkkitiedostoksi), joka Lenovon ratkaisukeskuksen käyttäessä pääsisi käsiksi arkaluontoisiin tiedostoihin, joita sen ei muuten pitäisi sallia. Sieltä vahingollinen koodi voidaan suorittaa järjestelmässä järjestelmänvalvojan tai järjestelmän käyttöoikeuksilla, mikä on periaatteessa peli ohi, kuten Pen Test Partners toteaa.
Lenovo Solution Center on ohjelma, joka oli esiasennettu Lenovon kannettaviin tietokoneisiin vuodesta 2011 marraskuuhun 2022-2023--2022, mikä tarkoittaa, että se saattaa vaikuttaa miljooniin laitteisiin. Ironista kyllä, ohjelman tarkoitus on seurata Lenovo -tietokoneen terveyttä ja turvallisuutta. Vaikka tämä virhe ei ole niin suuri huolenaihe yksittäisille käyttäjille, jotka voivat suojata järjestelmät nopeasti, suuret yritykset, jotka omistavat vanhoja ThinkPad -kannettavia ja käyttävät vanhoja ohjelmistoja, voivat olla hitaita sopeutumaan.
Lenovo puolestaan julkaisi tietoturvalausunnon, joka varoitti käyttäjiä virheestä ja kehotti poistamaan ratkaisukeskuksen, jota yritys ei enää tue.
"Lenovo Solution Centerin versiossa 03.12.003 ilmoitettu haavoittuvuus, jota ei enää tueta, voi sallia lokitiedostojen kirjoittamisen epätyypillisiin paikkoihin, mikä voi johtaa etuoikeuksien laajentumiseen. Lenovo lopetti Lenovo Solution Centerin tuen ja suositteli asiakkaiden siirtymistä Lenovo Vantagelle tai Lenovo Diagnosticsille huhtikuussa 2022-2023–2022 ", sanotaan tiedotteessa.
Lenovo ei ilmoittanut, milloin se lopetti toimittamasta kannettavia tietokoneita, joihin on esiasennettu Ratkaisukeskus, joten on mahdollista, että monissa alle vuoden ikäisissä Lenovo-kannettavissa on tuettuja ohjelmistoja, joissa on suuria puutteita.
Lenovoa on myös syytetty jälkien peittämisestä. Pen Test Partnersin mukaan tietokoneen valmistaja väitti, että kun he olivat ilmoittaneet Lenovolle haavoittuvuudesta, Solution Centerin käyttöiän päättymispäivää muutamalla kuukaudella, jotta se näyttäisi siltä, että ominaisuus lopetettiin ennen viimeisen version julkaisua marraskuussa 2022-2023 .
"Usein sovellusten, jotka ovat tuen lopussa, päivitämme sovelluksia jatkuvasti, kun siirrymme uuteen tarjontaan, jotta varmistetaan, että asiakkaat, jotka eivät ole siirtyneet tai eivät halua, saavat edelleen minimaalisen tuen, mikä on käytännössä ei ole harvinaista alalla ", Lenovo kertoi The Registerille kysyttäessä ristiriidasta.
Olipa Lenovo kavalu tai ei, lopputulos on seuraava: jos omistat vuosien 2011 ja 2022-2023 välillä valmistetun Lenovo-kannettavan, päästä ehdottomasti eroon Lenovo Solution Centeristä mahdollisimman pian. Voit tehdä sen noudattamalla tätä yksinkertaista opasta ohjelmien poistamisesta Windows 10: ssä.
Laptop Magazine on ottanut yhteyttä Lenovoon kommentoidakseen, ja päivitämme tämän tarinan, kun saamme vastauksen.
- Kuinka VPN voi parantaa tietoturvaa ja yksityisyyttä | Tomin opas
