Lenovo vá lỗ hổng nghiêm trọng mới trong hệ thống dịch vụ cập nhật

Theo guồng quay của lỗ hổng Superfish, 3 lỗ hổng nghiêm trọng mới đã được vá trong hệ thống cập nhật máy tính của hãng Lenovo.

Các nhà nghiên cứu tại IOActive hôm qua đã tiết lộ chi tiết 3 vấn đề bảo mật liên quan đến cơ chế cập nhật bảo mật mà thiết bị Lenovo sử dụng. Lenovo là một trong những hãng dẫn đầu thế giới về máy tính cá nhân, chiếm 20% thị trường. Lỗ hổng nghiêm trọng nhất cho phép người dùng ít quyền hạn có thể thực thi lệnh như người dùng quản trị trong phiên bản 5.6.0.27 và các phiên bản cũ của Lenovo System Update.

Lenovo đã giới hạn truy cập vào System Update Service bằng cách yêu cầu client xác thực bằng cách sử dụng token bảo mật với lệnh mà người dùng không có quyền hạn muốn thực thi. Tuy nhiên token này khá dễ đoán và có thể tạo ra bởi bất kì người dùng nào. Tin tặc có thể lợi dụng lỗ hổng tạo ra một token hợp lệ và gộp nó cùng một lệnh độc hại thực thi bởi SUService.exe.

Lỗ hổng thứ hai cho phép tin tặc bypass signature validation và trong vị trí một man-in-the-middle, có thể chuyển đổi file tải về trong System Update. Cơ chế này được sử dụng để tải ứng dụng đáng tin cậy của Lenovo. Mặc dù kết nối thông qua SSL/TLS, Lenovo vẫn thất bại trong việc kiểm tra toàn bộ và xác thực chuỗi Certificate Authority.

Lỗ hổng thứ ba liên quan đến lỗ hổng thứ đầu tiên, nó cho phép người dùng cục bộ thực thi lệnh như quản trị viên, lợi dụng System Update khiển duyệt chữ kí điện tử trong thư mục có thể ghi bởi bất kì người dùng nào.

Cả 3 lỗ hổng đềuđược báo cáo vào tháng 2 và được vá trong đầu tháng 4. Lenovo khuyến cáo người dùng bật chế độ tự động cập nhật trong System Update.