Aún recuperándose de la vulnerabilidad Superfish, tres graves vulnerabilidades más han sido divulgadas y parchadas en el sistema de actualización para las PCs de Lenovo.
Investigadores de IOActive ayer dieron a conocer detalles sobre tres problemas de seguridad relacionados con el mecanismo por el cual las máquinas Lenovo reciben actualizaciones de seguridad; Lenovo es el líder mundial de PC, según Gartner, con casi el 20 por ciento de cuota de mercado.
El más grave de los errores permite a los usuarios menos privilegiados ejecutar comandos como usuario del sistema en versiones 5.6.0.27 y versiones anteriores del sistema de actualización de Lenovo, dijo IOActive.
La segunda vulnerabilidad es igualmente preocupante porque un atacante es capaz de pasar por alto la validación de la firma, y en una posición man-in-the-middle, puede intercambiar un ejecutable que se descargue por System Update. El mecanismo se utiliza para descargar aplicaciones de Lenovo de confianza. A pesar de esta comunicación ocurre a través de SSL / TLS, los investigadores de IOActive descubrieron que Lenovo no verifica por completo y validar la cadena de autoridad de certificación.
Investigadores de IOActive ayer dieron a conocer detalles sobre tres problemas de seguridad relacionados con el mecanismo por el cual las máquinas Lenovo reciben actualizaciones de seguridad; Lenovo es el líder mundial de PC, según Gartner, con casi el 20 por ciento de cuota de mercado.El más grave de los errores permite a los usuarios menos privilegiados ejecutar comandos como usuario del sistema en versiones 5.6.0.27 y versiones anteriores del sistema de actualización de Lenovo, dijo IOActive.
"Lenovo hace el intento de restringir el acceso al Servicio de actualización del sistema al requerir los clientes de la canalización con nombre para autenticar mediante la inclusión de un token de seguridad con el comando del usuario sin privilegios desea ejecutar", escribieron los investigadores Michael Milvich y Sofiane Talmat. "Desafortunadamente este token es una muestra predecible y puede ser generado por cualquier usuario sin necesidad de permisos elevados."Un atacante puede aprovechar la vulnerabilidad creando un token válido e incluirlo junto con un comando malicioso que será ejecutado por SUService.exe, dijo IOActive.
La segunda vulnerabilidad es igualmente preocupante porque un atacante es capaz de pasar por alto la validación de la firma, y en una posición man-in-the-middle, puede intercambiar un ejecutable que se descargue por System Update. El mecanismo se utiliza para descargar aplicaciones de Lenovo de confianza. A pesar de esta comunicación ocurre a través de SSL / TLS, los investigadores de IOActive descubrieron que Lenovo no verifica por completo y validar la cadena de autoridad de certificación.
"Como resultado, un atacante puede crear un falso CA (autoridad de certificados) y utilizarlo para crear un certificado de firma de código, que puede ser utilizado para firmar ejecutables", escribieron los investigadores. "Puesto que la actualización del sistema no pudo validar adecuadamente la CA, la actualización del sistema aceptará los ejecutables firmados por el certificado falso y los ejecutara como usuario privilegiado."La vulnerabilidad final está relacionado con la anterior y que permite a usuarios locales ejecutar comandos como administrador, aprovechando el hecho de que la actualización del sistema verifica firmas en un directorio grabable por otros usuarios. Al guardar los archivos ejecutables en un directorio tal, una condición de carrera se produce entre la verificación de la firma y ejecución del programa malicioso, dijo IOActive.
"Un atacante local podría aprovechar esta para realizar una elevación local de privilegios por la espera de la actualización del sistema para verificar la firma del ejecutable, y luego intercambiar el ejecutable con una versión maliciosa antes de la actualización del sistema es capaz de ejecutar el archivo ejecutable", el investigadores. "Cuando la actualización del sistema consigue ejecutar el archivo, se ejecutará la versión maliciosa, pensando que era el ejecutable que ya había verificado. Un atacante puede usar esto para obtener permisos elevados ".Las tres vulnerabilidades fueron reportados en febrero y parcheados a principios de abril.
"Las instalaciones existentes de Lenovo System Update le indicará al usuario que instale automáticamente la versión actualizada del programa cuando se ejecuta la aplicación. Alternativamente, los usuarios pueden actualizar manualmente la actualización del sistema como se describe en el aviso de seguridad ", dijo Lenovo en una declaración. "Lenovo recomienda que todos los usuarios actualicen actualización del sistema para eliminar las vulnerabilidades reportadas por IOActive. En general, Lenovo anima a sus usuarios a mantener sus sistemas actualizados al permitir actualizaciones automáticas que se ejecuten cuando se le solicite ".En febrero, se dieron a conocer problemas en el adware Superfish pre-instalado en los PC de Lenovo y portátiles cuando un investigador informó que había descifrado el password que protege el certificado digital enviado con Superfish, poniendo en riesgo la comunicación cifrada a través de ataques man-in-the-middle. Al final resultó que, el certificado digital fue el mismo en todos los equipos de Lenovo que se enviaron con Superfish hasta enero de este año.
