בעלי מחשבים ניידים ישנים יותר של Lenovo צריכים להסיר את מרכז הפתרונות של Lenovo בהקדם האפשרי.
חוקרי אבטחה בחברת Pen Test Partners מצאו פגיעות קריטית במרכז הפתרונות של Lenovo שיכולה למסור הרשאות ניהול להאקרים או לתוכנות זדוניות.
על פי Pen Test Partners, הפגם הוא דריסת רשיון של בקרת גישה (DACL), מה שאומר שמשתמש בעל זכויות נמוכות יכול להתגנב לקובץ רגיש על ידי ניצול תהליך בעל זכויות יתר. זוהי דוגמה להתקפת "הסלמה מיוחסת" שבה ניתן להשתמש בבאג כדי לקבל גישה למשאבים שהם בדרך כלל נגישים רק למנהלים.
במקרה זה, תוקף יכול לכתוב קובץ פסאודו (שנקרא קובץ קישור קשיח) שכאשר יופעל על ידי Lenovo Solution Center יגיע לקבצים רגישים שאחרת לא יהיה אפשר להגיע אליו. משם ניתן להפעיל קוד מזיק במערכת עם הרשאות מנהל או מערכת, וזה בעצם המשחק נגמר, כפי שמציינים Pen Test Partners.
Lenovo Solution Center היא תוכנית שהותקנה מראש במחשבים ניידים של Lenovo מ -2011 ועד נובמבר 2022-2023-2022, מה שאומר שמיליוני מכשירים עלולים להיות מושפעים. למרבה האירוניה, מטרת התוכנית היא לפקח על הבריאות והאבטחה של מחשב Lenovo. למרות שפגם זה אינו דאגה כה גדולה עבור משתמשים בודדים שיכולים להגן במהירות על המערכות שלהם, חברות גדולות יותר המחזיקות בצי מחשבים ניידים ישנים יותר של ThinkPad ומשתמשות בתוכנות מדור קודם עשויות להיות איטיות בהתאמה.
לנובו מצידה פרסמה הצהרת אבטחה המזהירה את המשתמשים מפני הבאג ודוחקת בהם להסיר את ההתקנה של מרכז הפתרונות, שהחברה אינה תומכת בו יותר.
"פגיעות המדווחת ב Lenovo Solution Center בגרסה 03.12.003, שאינה נתמכת עוד, יכולה לאפשר כתיבת קבצי יומן למיקומים לא סטנדרטיים, מה שעלול להוביל להסלמת זכויות יוצרים. Lenovo סיימה את התמיכה ב- Lenovo Solution Center והמליצה ללקוחות להעביר ל- Lenovo Vantage או Lenovo Diagnostics באפריל 2022-2023-2022 ", נכתב בהודעה.
לנובו לא ציינה מתי היא הפסיקה לשלוח מחשבים ניידים עם Solution Center מותקנת מראש, ולכן ייתכן שמחשבים ניידים רבים של Lenovo בני פחות משנה נושאים תוכנות ללא תמיכה עם פגמים גדולים.
לנובו מואשמת גם כיסתה את עקבותיה. לדברי Pen Test Partners, לאחר שהודיעו לנובו על הפגיעות, יצרנית המחשבים החזירה לכאורה את תאריך סיום Solution Center במספר חודשים בכדי שזה ייראה כאילו התכונה הופסקה לפני שהגרסה האחרונה פורסמה בנובמבר 2022-2023-2022. .
"לרוב האפליקציות שמגיעות לסיום התמיכה ממשיכות לעדכן את האפליקציות כאשר אנו עוברים להצעות חדשות היא להבטיח ללקוחות שלא עברו, או שבחרו שלא, עדיין יש להם תמיכה מינימלית, נוהג זה לא נדיר בתעשייה ", אמרה לנובו ל- The Register כשנשאלה על הפער.
בין אם לנובו ערמומית או לא, השורה התחתונה היא זו: אם יש ברשותך מחשב נייד של Lenovo המיוצר בין 2011 ל -2021-2022, אז היפטר ממרכז הפתרונות של Lenovo בהקדם האפשרי. תוכל לעשות זאת על ידי ביצוע מדריך פשוט זה להסרת תוכניות ב- Windows 10.
מגזין מחשבים ניידים פנה לנובו להערה, ואנו נעדכן את הסיפור כאשר נקבל תשובה.
- כיצד VPN יכול לשפר את האבטחה והפרטיות שלך. המדריך של טום