ThinkPad ve Yoga modelleri de dahil olmak üzere Lenovo dizüstü bilgisayarlar, ImControllerService hizmetinde, saldırganların yönetici ayrıcalıklarıyla komut yürütmesine olanak tanıyan bir ayrıcalık yükseltme hatasına karşı savunmasızdır.
Kusurlar CVE-2021-3922 ve CVE-2021-3969 olarak izlenir ve 1.1.20.3’ün altındaki tüm Lenovo System Interface Foundation sürümlerinin ImControllerService bileşenini etkiler. Windows hizmetleri ekranını görüntülerken, bu hizmetin görünen adı “Sistem Arayüzü Temel Hizmeti” olur.
Söz konusu hizmet, Lenovo cihazlarının Lenovo Companion, Lenovo Settings ve Lenovo ID gibi evrensel uygulamalarla iletişim kurmasına yardımcı olan Lenovo System Interface Foundation’ın bir bileşenidir. Hizmet, Yoga ve ThinkPad aygıtları da dahil olmak üzere çok sayıda Lenovo Modelinde varsayılan olarak önceden kuruludur.
“Lenovo System Interface Foundation Service, sistem güç yönetimi, sistem optimizasyonu, sürücü ve uygulama güncellemeleri ve Lenovo Companion, Lenovo Settings ve Lenovo ID dahil olmak üzere Lenovo uygulamalarına sistem ayarları gibi temel özellikler için arabirimler sağlar”, Windows’un açıklamasını okur. hizmet.
“Bu hizmeti devre dışı bırakırsanız, Lenovo uygulamaları düzgün çalışmayacaktır.”
Güvenlik açıklarının keşfi, bulgularını 29 Ekim 2021’de Lenovo’ya bildiren NCC Group araştırmacılarının işiydi.
Bilgisayar üreticisi, güvenlik güncellemelerini 17 Kasım 2021’de yayınlarken, ilgili danışma 14 Aralık 2021 tarihinde yayınlandı.
Savunmasız sistem bileşeni
ImController’ın Lenovo sunucularından dosya alıp yüklemesi, alt işlemleri yürütmesi ve sistem yapılandırma ve bakım görevlerini gerçekleştirmesi gerektiğinden, SYSTEM ayrıcalıklarıyla çalışır.
SİSTEM ayrıcalıkları, Windows’ta bulunan en yüksek kullanıcı haklarıdır ve birisinin işletim sistemi üzerinde hemen hemen her komutu gerçekleştirmesine izin verir. Esasen, bir kullanıcı Windows’ta SİSTEM ayrıcalıkları kazanırsa, kötü amaçlı yazılım yüklemek, kullanıcı eklemek veya hemen hemen her sistem ayarını değiştirmek için sistem üzerinde tam kontrol sahibi olurlar.
Bu Windows hizmeti, ImController hizmetinin alt süreçle iletişim kurmak için kullandığı adlandırılmış kanal sunucularını açan daha fazla alt süreç üretecektir. ImController bir komutu yürütmek için bu hizmetlerden birine ihtiyaç duyduğunda, adlandırılmış kanala bağlanacak ve yürütülmesi gereken XML serileştirilmiş komutları yayınlayacaktır.
Ne yazık ki hizmet, ayrıcalıklı alt süreçler arasındaki iletişimi güvenli bir şekilde işlemez ve seri hale getirilmiş XML komutlarının kaynağını doğrulamakta başarısız olur. Bu, kötü niyetli olanlar da dahil olmak üzere diğer herhangi bir işlemin kendi komutlarını vermek için alt sürece bağlanabileceği anlamına gelir.
Bu nedenle, bu güvenlik boşluğundan yararlanan bir saldırgan, dosya sistemindeki rastgele bir konumdan bir ‘eklenti’ yüklemek için bir talimat gönderebilir.
“İlk güvenlik açığı, bir saldırgan ile alt sürece bağlanan ana süreç arasındaki bir yarış durumudur” adlı boru, ” NCC Grubunu açıklar
“Yüksek performanslı dosya sistemi eşitleme rutinlerini kullanan bir saldırgan, adlandırılmış kanala bağlanmak için üst süreçle yarışı güvenilir bir şekilde kazanabilir.”
Araştırmacılar, kavram kodunun kanıtlarının, ana hizmet bunu yapmadan önce adlandırılmış kanala bağlanmayı hiçbir zaman başaramadığının altını çiziyor, bu da istismarın çok güvenilir olduğu anlamına geliyor.
Kaynak: NCC Grubu
İkinci kusur, bir saldırganın doğrulanmış bir ImControllerService eklentisinin yükleme sürecini durdurmasına ve bunu kendi seçtikleri bir DLL ile değiştirmesine olanak tanıyan bir kullanım süresi denetimi (TOCTOU) güvenlik açığıdır.
Kilit serbest bırakıldığında ve yükleme prosedürü devam ettiğinde, DLL yürütülür ve ayrıcalık yükselmesine yol açar.
Kaynak: NCC Grubu
Güncellemek tek çözüm
Lenovo dizüstü bilgisayarları olan tüm Windows kullanıcıları veya masaüstü bilgisayarlar ImController sürüm 1.1.20.2 veya daha eski sürümleri çalıştıranların mevcut en son sürüme (1.1.20.3) yükseltmeleri önerilir.
Hangi sürümü çalıştırdığınızı belirlemek için şu adımları izleyin:
- Dosya Gezgini’ni açın ve şuraya gidin: C:WindowsLenovoImControllerPluginHost.
- sağ tıklayın Lenovo.Modern.ImController.PluginHost.exe ve seçin Özellikler.
- Tıkla Detaylar sekme.
- Dosya sürümünü okuyun.
ImController bileşenini veya Lenovo System Interface Foundation’ı cihazınızdan kaldırmanız, gerekli görülmese bile cihazınızdaki bazı işlevleri etkileyebileceğinden resmi olarak önerilmez.