联想(Lenovo)近日公告笔记本内置的计算机管理软件2项安全漏洞,可使攻击者取得权限控制用户计算机,从ThinkPad到Yoga系列都受影响。
2项漏洞是出现在联想笔记本管理软件Lenovo Vantage中、系统服务Lenovo System Interface Foundation的IMController组件。Lenovo System Interface Foundation是集成驱动程序更新、系统服务及扩展服务的组件,IMController服务可让联想设备和其通用软件,例如Lenovo Settings、Lenovo ID或Lenovo Companion交互。联想旗下笔记本如ThinkPad或Yoga等产品都内置这些组件。
两项漏洞分别为CVE-2021-3922及CVE-2021-3969,是由NCC Group于11月间发现并通报联想。CVE-2021-3922为一条件竞争(race condition)漏洞,可让本机攻击者连接IMController的子行程的命名管理,并下载文件到文件系统。CVE-2021-3969则为TOCTOU(Time of Check Time of Use)漏洞,允许本机攻击者升高权限。NCC Group指出,IMController是以系统权限执行,会定期执行子行程设置系统组态及系统维护工作。这2项漏洞发生在IMController处理高权限子行程未适当验证,使仅具一般权限的攻击者扩展权限到系统管理员身份,最后在文件系统中写入恶意文件并执行。可升级到系统权限的威胁,往往能让攻击者接管整台系统。
这两项漏洞影响IMController 1.1.20.3以前的版本。联想已经于11月发布新版本,IMController会自动由Lenovo System Interface Foundation升级到1.1.20.3版。
计算机预装官方软件经常成为安全破口。2019年联想笔记本内置软件Lenovo Solution Centre(LSC)中一个第三方软件爆发漏洞,可使黑客取得管理员权限执行程序,甚至接管设备。今年6月Dell设备也传出内置管理软件SupportAssist的BIOSConnect组件含有4个安全漏洞,使黑客可自远程执行任意程序