Lenovo Solution Centre (LSC) に脆弱性が見つかっただけでなく、このラップトップ メーカーは、脆弱性を重要でないと思わせるためにサポート終了日を操作し、最終バージョンがリリースされる前に脆弱性のある監視ソフトウェアのサポートを終了したと世界に発表しました。
LSC 権限昇格脆弱性(CVE-2019-6177)は、Pen Test Partners(PTP)によって発見されました。PTPによると、この脆弱性は2011年の出荷開始当初からコード内に存在していたとのことです。この脆弱性は、中国メーカーのノートパソコンやその他のデバイスのほとんどにバンドルされており、動作にはWindowsが必要です。もしこのアプリを削除したり、Linux をインストールして削除したりしたのであれば、今のところは安全です。
「このバグ自体はDACL(任意アクセス制御リスト)の上書きに関するもので、高権限のLenovoプロセスが、低権限ユーザーが制御可能なファイルの権限を無差別に上書きしてしまうことを意味します」とPTPは説明しました。「このシナリオでは、低権限ユーザーが制御可能な場所に『ハードリンク』ファイルを書き込むことができます。これは、低権限ユーザーが制御できないシステム上の他のファイルを指す疑似ファイルです。」
LSCは、ユーザーがマシンにログオンしてから10分(600秒)後に、高権限のスケジュールタスクを実行します。PTPによると、スケジュールタスクによって実行されるバイナリは、Lenovo製品のログフォルダのDACLを上書きし、Authenticated Usersユーザーグループのメンバー全員にログへの完全な読み取り/書き込み権限を与えます。すべてのアカウントがAuthenticated Usersのメンバーであるため、誰でもログを操作できることになります。
レノボがSuperfishアドウェアを搭載したPCを販売していたのを覚えていますか?FTCから軽い叱責を受けたばかりです。
続きを読む
ログフォルダにハードリンクファイルをドロップし、ターゲットシステム上の別の場所を指すようにすることで、LSCのスケジュールタスクを利用して任意のファイルまたは実行ファイルの権限を昇格できます。そこから管理者レベルの権限で任意のコードを実行し、10分でシステム全体を乗っ取るのは至難の業です。念のため言っておきますが、これを悪用するには、不正なログインユーザーとして、あるいはマルウェアを仕掛けて、既にマシンにアクセスできている必要があります。
解決策は? Lenovo Solution Centre をアンインストールし、どうしても必要な場合は、priv-esc 部分を除いて、同じブランド機能を保持するために Lenovo Vantage や Lenovo Diagnostics をインストールすることもできます。
すべて順調でした。しかし、PTPがLenovoに脆弱性を報告した際に、少し問題が発生しました。「最終バージョンがリリースされる前に、サポート終了日を変更して、あたかもサポートが終了したかのように見せかけていたことに気付きました」とPTPは語りました。
PTPブログでは、サポート終了日(当初は2018年11月30日、その後バグが明らかになった後、突如として2018年4月に変更)のスクリーンショットを見ることができます。このソフトウェアの最後の公式リリースは2018年10月であるため、Lenovoは何らかの理由でサポート終了日を同年4月に延期したようです。
「問題を隠蔽するつもりか?」PTP のケン・マンロー氏はEl Regにそう尋ねた。
Lenovo に対し、Lenovo Solution Centre ページで EOL 日付を変更して、すでに EOL となった製品のアップデートをリリースしているように見せかけた理由を尋ねました。
「サポート終了を迎えたアプリケーションについては、新しいサービスに移行しながらアプリケーションの更新を継続することがよくあります。これは、移行していない、または移行しないことを選択した顧客に、引き続き最低限のサポートを提供することを保証するためです。これは業界では珍しいことではありません。」と回答がありました。®
