Ноутбуки Lenovo уязвимы для ошибки, разрешающей права администратора

298
Лучшие музыкальные боты Discord - играют мелодии по команде

Ноутбуки Lenovo, включая модели ThinkPad и Yoga, уязвимы для ошибки повышения привилегий в службе ImControllerService, позволяющей злоумышленникам выполнять команды с правами администратора.

Дефекты отслеживаются как CVE-2021-3922 и CVE-2021-3969 и влияют на компонент ImControllerService всех версий Lenovo System Interface Foundation ниже 1.1.20.3. При просмотре экрана служб Windows эта служба имеет отображаемое имя «System Interface Foundation Service».

Конкретный сервис является компонентом Lenovo System Interface Foundation, который помогает устройствам Lenovo взаимодействовать с универсальными приложениями, такими как Lenovo Companion, Lenovo Settings и Lenovo ID. Служба по умолчанию предустановлена ​​на многих моделях Lenovo, включая устройства Yoga и ThinkPad.

«Lenovo System Interface Foundation Service предоставляет интерфейсы для ключевых функций, таких как: управление питанием системы, оптимизация системы, обновления драйверов и приложений, а также системные настройки для приложений Lenovo, включая Lenovo Companion, Lenovo Settings и Lenovo ID», — говорится в описании Windows услуга.

«Если вы отключите эту службу, приложения Lenovo не будут работать должным образом».

Обнаружение уязвимостей стало результатом работы исследователей NCC Group, которые 29 октября 2021 года сообщили о своих результатах в Lenovo.

Производитель компьютеров выпустил обновления безопасности 17 ноября 2021 года, а соответствующие рекомендации были опубликованы 14 декабря 2021 года.

Уязвимый системный компонент

Поскольку ImController должен получать и устанавливать файлы с серверов Lenovo, выполнять дочерние процессы и выполнять задачи настройки и обслуживания системы, он работает с правами SYSTEM.

Системные привилегии — это наивысшие права пользователя, доступные в Windows, которые позволяют кому-либо выполнять практически любую команду в операционной системе. По сути, если пользователь получает системные привилегии в Windows, он получает полный контроль над системой для установки вредоносных программ, добавления пользователей или изменения практически любых системных настроек.

Эта служба Windows будет порождать дополнительные дочерние процессы, которые открывают серверы именованных каналов, которые служба ImController использовала для связи с дочерним процессом. Когда ImController нуждается в одной из этих служб для выполнения команды, он подключится к именованному каналу и выдаст сериализованные команды XML, которые должны быть выполнены.

К сожалению, служба не обеспечивает безопасную связь между привилегированными дочерними процессами и не может проверить источник сериализованных команд XML. Это означает, что любой другой процесс, даже злонамеренный, может подключиться к дочернему процессу для выполнения своих собственных команд.

Таким образом, злоумышленник, использующий этот пробел в системе безопасности, может отправить инструкцию для загрузки «плагина» из произвольного места в файловой системе.

«Первая уязвимость — это состояние гонки между злоумышленником и родительским процессом, подключающимся к именованному каналу дочернего процесса», — поясняет NCC Group.

«Злоумышленник, использующий высокопроизводительные процедуры синхронизации файловой системы, может надежно выиграть гонку с родительским процессом за подключение к именованному каналу».

Исследователи подчеркивают, что их доказательный код концепции никогда не отказывался от подключения к именованному каналу до того, как это могла сделать родительская служба, а это означает, что эксплойт очень надежен.

Второй недостаток — это уязвимость между проверкой и временем использования (TOCTOU), которая позволяет злоумышленнику остановить процесс загрузки проверенного плагина ImControllerService и заменить его библиотекой DLL по своему выбору.

После снятия блокировки и продолжения процедуры загрузки выполняется DLL, что приводит к повышению привилегий.

Обновление — единственное решение

Всем пользователям Windows с ноутбуками или настольными компьютерами Lenovo, на которых установлена ​​версия ImController 1.1.20.2 или более ранняя, рекомендуется обновить до последней доступной версии (1.1.20.3).

Чтобы определить, какую версию вы используете, выполните следующие действия:

  • Откройте проводник и перейдите в папку C: \ Windows \ Lenovo \ ImController \ PluginHost \.
  • Щелкните правой кнопкой мыши файл Lenovo.Modern.ImController.PluginHost.exe и выберите «Свойства».
  • Щелкните вкладку «Подробности ».
  • Прочтите версию файла.

Удаление компонента ImController или Lenovo System Interface Foundation с вашего устройства официально не рекомендуется, поскольку это может повлиять на некоторые функции вашего устройства, даже если это не считается необходимым.

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии