情境示意圖,Photo by m20 m20 on unsplash

聯想(Lenovo)近日公告筆電內建的電腦管理軟體2項安全漏洞,可使攻擊者取得權限控制用戶電腦,從ThinkPad到Yoga系列都受影響。

2項漏洞是出現在聯想筆電管理軟體Lenovo Vantage中、系統服務Lenovo System Interface Foundation的IMController元件。Lenovo System Interface Foundation是整合驅動程式更新、系統服務及擴充服務的套件,IMController服務可讓聯想裝置和其通用軟體,例如Lenovo Settings、Lenovo ID或Lenovo Companion互動。聯想旗下筆電如ThinkPad或Yoga等產品都內建這些元件。

兩項漏洞分別為CVE-2021-3922及CVE-2021-3969,是由NCC Group於11月間發現並通報聯想。CVE-2021-3922為一條件競爭(race condition)漏洞,可讓本機攻擊者連結IMController的子行程的命名管理,並下載檔案到檔案系統。CVE-2021-3969則為TOCTOU(Time of Check Time of Use)漏洞,允許本機攻擊者升高權限。NCC Group指出,IMController是以系統權限執行,會定期執行子行程設定系統組態及系統維護工作。這2項漏洞發生在IMController處理高權限子行程未適當驗證,使僅具一般權限的攻擊者擴充權限到系統管理員身分,最後在檔案系統中寫入惡意檔案並執行。可升級到系統權限的威脅,往往能讓攻擊者接管整臺系統。

這兩項漏洞影響IMController 1.1.20.3以前的版本。聯想已經於11月釋出新版本,IMController 會自動由Lenovo System Interface Foundation升級到1.1.20.3版。

電腦預載官方軟體經常成為安全破口。2019年聯想筆電內建軟體Lenovo Solution Centre(LSC)中一個第三方軟體爆發漏洞,可使駭客取得管理員權限執行程式,甚至接管裝置。今年6月Dell裝置也傳出內建管理軟體SupportAssist的BIOSConnect元件含有4個安全漏洞,使駭客可自遠端執行任意程式。


熱門新聞

Advertisement