Összefoglaló
A Lenovo három sebezhetőséget orvosolt egyes számítógépeinek esetében. Ezek jogosulatlan műveletvégrehajtásra, kódfuttatásra, illetve védelmi mechanizmusok megkerülésére is módot adhatnak. A hibák a Lenovo System Update alkalmazáson, illetve szolgáltatáson kereszül használhatóak ki.
Leírás
Az első sebezhetőséget az okozza, hogy a System Update szolgáltatás nem kellően biztonságos módon hozza létre azokat a tokeneket, amelyeket a saját parancsaihoz rendel hozzá. Mivel ezek a tokenek előre megjósolható módon jönnek létre, ezért a támadó a saját parancsait is felruházhatja ezekkel, majd System jogosultsági szinten tudja végrehajtani a nemkívánatos műveleteit.
A második sérülékenység a tanúsítványok esetenkénti nem megfelelő kezelésére vezethető vissza. Mivel a tanúsítványláncok validálása nem tökéletes, ezért a támadó egy hamis tanúsítvány létrehozásával, illetve a kártékony kódjainak aláírásával elérheti, hogy a frissítési folyamat során ne a Lenovo hivatalos alkalmazásai töltődjenek le, hanem az ártalmas kódok.
A harmadik biztonsági rés pedig a már letöltött frissítések kezelésével hozható összefüggésbe. Ugyanis amikor a System Update letölt egy frissítést, akkor azt egy mindenki számára írható mappába menti le. Miután a System Update ellenőrizte a letöltött fájl hitelességét, a támadó lecserélheti azt a saját kártékony programjára, amit a frissítési szolgáltatás szó nélkül lefuttat abban a hitben, hogy az állomány már ellenőrzött és a Lenovotól származik.
Megoldás
A Lenovo által kiadott frissítések telepítése.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: support.lenovo.com
Egyéb referencia: isbk.hu
CVE-2015-2219 - NVD CVE-2015-2219
CVE-2015-2233 - NVD CVE-2015-2233
CVE-2015-2234 - NVD CVE-2015-2234