Les propriétaires d'anciens ordinateurs portables Lenovo doivent désinstaller Lenovo Solution Center dès que possible.
Les chercheurs en sécurité de Pen Test Partners ont découvert une vulnérabilité critique dans le centre de solutions Lenovo qui pourrait céder les privilèges d'administrateur à des pirates ou à des logiciels malveillants.
Selon Pen Test Partners, la faille est un écrasement de la liste de contrôle d'accès discrétionnaire (DACL), ce qui signifie qu'un utilisateur à faible privilège peut se faufiler dans un fichier sensible en exploitant un processus à privilège élevé. Il s'agit d'un exemple d'attaque "d'escalade privilégiée" dans laquelle un bogue peut être utilisé pour accéder à des ressources qui ne sont normalement accessibles qu'aux administrateurs.
Dans ce cas, un attaquant pourrait écrire un pseudo-fichier (appelé fichier de lien physique) qui, lorsqu'il est exécuté par Lenovo Solution Center, accéderait à des fichiers sensibles qu'il ne devrait autrement pas être autorisé à atteindre. À partir de là, un code dommageable pourrait être exécuté sur le système avec des privilèges d'administrateur ou de système, ce qui est essentiellement la fin du jeu, comme le note Pen Test Partners.
Lenovo Solution Center est un programme qui a été préinstallé sur les ordinateurs portables Lenovo de 2011 à novembre 2022-2023, ce qui signifie que des millions d'appareils pourraient être affectés. Ironiquement, le but du programme est de surveiller la santé et la sécurité d'un PC Lenovo. Bien que cette faille ne soit pas une préoccupation majeure pour les utilisateurs individuels qui peuvent protéger rapidement leurs systèmes, les grandes entreprises qui possèdent une flotte d'ordinateurs portables ThinkPad plus anciens et utilisent des logiciels hérités peuvent être lentes à s'adapter.
De son côté, Lenovo a publié une déclaration de sécurité avertissant les utilisateurs du bug et les exhortant à désinstaller Solution Center, que la société ne prend plus en charge.
"Une vulnérabilité signalée dans Lenovo Solution Center version 03.12.003, qui n'est plus prise en charge, pourrait permettre l'écriture de fichiers journaux dans des emplacements non standard, entraînant potentiellement une élévation des privilèges. Lenovo a mis fin à la prise en charge de Lenovo Solution Center et a recommandé aux clients de migrer à Lenovo Vantage ou Lenovo Diagnostics en avril 2022-2023 », indique le communiqué.
Lenovo n'a pas précisé quand il a cessé de livrer des ordinateurs portables avec Solution Center préinstallé, il est donc possible que de nombreux ordinateurs portables Lenovo de moins d'un an contiennent des logiciels non pris en charge avec des défauts majeurs.
Lenovo a également été accusé de brouiller les pistes. Selon Pen Test Partners, après avoir informé Lenovo de la vulnérabilité, le fabricant d'ordinateurs aurait reculé la date de fin de vie du Centre de solutions de plusieurs mois pour donner l'impression que la fonctionnalité a été interrompue avant la sortie de la dernière version en novembre 2022-2023. .
« C'est souvent le cas pour les applications qui arrivent en fin de support que nous continuons à mettre à jour les applications au fur et à mesure que nous passons à de nouvelles offres, c'est pour garantir que les clients qui n'ont pas effectué la transition, ou qui choisissent de ne pas le faire, ont toujours un niveau de support minimal, une pratique qui n'est pas rare dans l'industrie », a déclaré Lenovo à The Register lorsqu'on lui a posé des questions sur l'écart.
Que Lenovo soit sournois ou non, l'essentiel est le suivant : si vous possédez un ordinateur portable Lenovo fabriqué entre 2011 et 2022-2023, alors débarrassez-vous absolument de Lenovo Solution Center dès que possible. Vous pouvez le faire en suivant ce guide simple sur la façon de désinstaller des programmes sur Windows 10.
Laptop Magazine a contacté Lenovo pour commentaires, et nous mettrons à jour cette histoire lorsque nous recevrons une réponse.
- Comment un VPN peut améliorer votre sécurité et votre confidentialité | Le guide de Tom