Összefoglaló
A Lenovo Solution Center (LSC) PC diagnosztikai szoftver magas veszélyességi kategóriába tartozó sérülékenységeket tartalmaz. Ezek kihasználásával a támadók tetszőleges kódokkal élhetnek vissza az érintett rendszereken, és ilyen módon nemkívánatos műveleteket hajthatnak végre.
Leírás
Az LSC alapvetően két komponensből épül fel: egy felhasználói felületből és egy háttérszolgáltatásból. A probléma ez utóbbi kapcsán merült fel, ugyanis az LSCTaskService nevű szolgáltatás a sérülékenységek révén rávehető kódfuttatásra, méghozzá SYSTEM jogosultsági szinten. Ráadásul egy CSRF (Cross-Site Request Forgery) hiba miatt a biztonsági rendellenesség akár weboldalak vagy speciálisan szeresztett URL-ek révén is kihasználhatóvá válhat.
A Lenovo szerint a hibák akkor is veszélyt jelentenek, ha a felhasználói felületet biztosító (frontend) összetevő nem fut.
Megoldás
Az LSC alkalmazás 3.3.002-es vagy annal újabb verziójának használata.
Támadás típusa
Privilege escalation (jogosultság kiterjesztés)System access (Rendszer hozzáférés)
execute arbitrary code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: support.lenovo.com
Egyéb referencia: isbk.hu
CVE-2015-8534 - NVD CVE-2015-8534
CVE-2015-8535 - NVD CVE-2015-8535
CVE-2015-8536 - NVD CVE-2015-8536
CVE-2016-1876 - NVD CVE-2016-1876