Pen Test Partnersのセキュリティ研究者は、LenovoのWindowsノートパソコンの大部分に搭載されているLenovo Solution Centre(LSC)ユーティリティに権限昇格の脆弱性を発見しました。このバグにより、マシンへのローカルまたはリモートアクセスを持つ誰でも管理者権限を取得し、システムを乗っ取ることが可能になる可能性がありました。
8年前の脆弱性
研究者によると、この脆弱性は2011年からLenovoのソフトウェアに存在していたという。この脆弱性はWindowsでのみ機能するため、LSCユーティリティをアンインストールしたり、Windowsの新しいバージョンを再インストールしたり、Linuxに切り替えたりした場合は、機能しなくなる。
PTPの研究者は次のように説明しています。
このバグ自体はDACL(任意アクセス制御リスト)の上書きに関するもので、高権限のLenovoプロセスが、低権限ユーザーが制御可能なファイルの権限を無差別に上書きしてしまうことを意味します。このシナリオでは、低権限ユーザーは制御可能な場所に「ハードリンク」ファイルを書き込むことができます。これは、低権限ユーザーが制御できないシステム上の他のファイルを指す疑似ファイルです。
レノボはバグを隠そうとしたと報道
PTPの研究者によると、Lenovoに最初に脆弱性を報告した際、同社はLSCツールのサポート終了日(EOL)を遡って変更するという奇妙な対応をとったという。当初、EOLは2018年11月30日とされていたが、その後Lenovoは2018年4月に延期した。これはPTPの研究者がLenovoにこのバグを報告した直後のことだった。
TheRegister は、Lenovo が EOL の日付を変更した理由を「すでにサポートが終了した製品のアップデートをリリースしているように見せるため」と質問しました。同社の声明は、Lenovo が、すでにサポートが終了したとされる製品のアップデートをリリースしているように見せかけることに関心があったことを実質的に裏付けています。
「サポート終了を迎えたアプリケーションの場合、新しいサービスに移行しながらアプリケーションの更新を継続することがよくあります。これは、移行していない、または移行しないことを選択した顧客に、引き続き最低限のサポートを提供することを保証するためです。これは業界では珍しいことではありません。」
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
レノボがスパイツールやノートパソコンのセキュリティ欠陥で摘発されたのは今回が初めてではない。Superfishスキャンダルが勃発して以来、同社のセキュリティ対策はそれほど改善されていないようだ。
