Lenovo Solution Center birgt Schwachstelle
Wie heise.de, unter Berufung auf die britische Sicherheitsfirma Pen Test Partners, berichtete, hatte diese die Schwachstelle (CVE-2019-6177) gefunden, über die sich ein Angreifer mit normalen Nutzer-Rechten mittels eines Tricks Admin-Rechte auf dem betroffenen System verschaffen kann. Zehn Minuten nach dem ersten Log-In nach Systemstart führt das LSC einen Prozess aus, der die Zugangskontroll-Liste (Access Control List, ACL) des Ordners überschreibt, in dem Lenovo seine Log-Dateien sammelt.
Hierdurch kann jeder auf dem System angemeldete Nutzer diese Logs manipulieren. Viel gravierender ist allerdings, dass sich dieses Verhalten auch dazu missbrauchen lässt, eine beliebige ausführbare Datei auf dem System vom LSC-Prozess auszuführen – mit Admin-Rechten. Dazu muss ein normaler Nutzer nur einen Hardlink auf das gewünschte Binary in dem Log-Verzeichnis ablegen.
Crapware
Jeder auf dem System angemeldete Nutzer kann die vorinstallierte Lenovo-Software missbrauchen, um sich zum Admin zu machen. In der englischsprachigen Security-Szene nennt man solche Software auch gerne Crapware (Mist-Software).
Reaktion von Lenovo
Wie weiter dazu verlautete, meinte Lenovo, dass die Lücke doch nicht so brisant sei. Allerdings reagierte Lenovo auf die vertrauliche Meldung der Sicherheitslücke durch Pen Test Partners sehr fragwürdig: Man versuchte das Problem herunterzuspielen und behauptete, die Software wäre bereits seit April 2018 nicht mehr unterstützt. Komisch nur, dass das letzte offizielle LSC-Release aus dem Oktober 2018 stammt. Wie sich herausstellte, hatte Lenovo das End-of-Life (EOL) des Lenovo Solution Center von Ende November 2018 auf April zurückdatiert, nachdem die Firma von der Sicherheitslücke erfahren hatte.
Gegenüber „The Register“ gab Lenovo zu Protokoll:
dass es sich bei der Rückdatierung einen völlig normalen Prozess in der Software-Industrie handele:
"Es passiert öfter, dass wir Programme, die das Ende ihrer Herstellerunterstützung erreichen, noch mal aktualisieren, um Kunden zu helfen, die zu neueren Produkten umsteigen; oder um diesen Kunden weiterhin einen minimalen Level an Support bereitzustellen. Das ist in unserer Branche nicht unüblich."
Allerdings scheint es nicht so, als ob dieser "minimalen Level an Support" einen Fix für die offengelegten Schwachstellen enthält.
Lenovo Solution Center schnellstens deinstallieren!
Betroffene Nutzer sollten also Lenovo Solution Center so schnell wie möglich deinstallieren. Wer nicht ohne die Funktionen des Programms auskommt, sollte auf Lenovo Vantage und Lenovo Diagnostics umsteigen.
Obwohl das Lenovo Solution Center schon länger nicht mehr auf neuen Geräten vorinstalliert wird, finden sich vor allem in großen Organisationen erfahrungsgemäß genug alte Systeme, dass eine Lücke dieser Art eine signifikante Schwachstelle darstellt, falls Angreifer es bis ins interne Netz schaffen. Deshalb sollten vor allem Firmen-Admins wachsam sein, und ihren Bestand an Lenovo-Systemen auf die verwundbare Software hin überprüfen, mahnt heise.de.
Weiterführende Links:
pentestpartners.com: PrivEsc in Lenovo Solution Centre, 10 minutes later
theregister.co.uk: Security gone in 600 seconds: Make-me-admin hole found in Lenovo Windows laptop crapware. Delete it now
heise.de: Lenovo Crapware: Vorinstallierte Systemsoftware macht Laptops angreifbar
