Lenovo объявила об обновлениях безопасности своего инструмента ThinkVantage, который прибывает предварительно установленный во все ноутбуки компании. Это последнее обновление обращается к двум слабым местам эскалации привилегии, обнаруженным IOActive.

Системное Обновление ThinkVantage - пакет программ, который заявляет Lenovo, поможет пользователям сэкономить время, и усилие должно было всегда забирать последних водителей, BIOS и другие заявления на их Думать или системы Lenovo.

Нападавшие могут предсказать имя пользователя и пароль счета администратора

Исследователи IOActive нашли два недостатка в ThinkVantage 5.07.0013, который позволил нападавшим порождать процессы уровня администратора на затронутых устройствах. У обеих проблем есть та же причина, временный счет администратора, созданный во время установки пакета ThinkVantage, счет, который никогда не удалялся впоследствии.

Первый выпуск, CVE-2015-8109, позволяет нападавшим получать доступ к этому временному счету. По данным команды IOACTIVE, имя пользователя и пароль для этого счета были произведены, используя предсказуемый алгоритм, который использовал случайные знаки на основе текущего времени устройства.

Имя пользователя было в форме «tvsu_tmp_xxxxxXXXXX», где x и X были беспорядочно произведенными знаками. Если нападавший смотрит на метку времени файлов, созданных во время процесса установки, они могут определить время, когда счет был создан, и затем произведите и случайные характеры имени пользователя и сам пароль.

Привилегии администратора через Internet Explorer

Второй выпуск, CVE-2015-8110, было намного легче эксплуатировать. Каждый раз, когда пользователи нажали на ссылки в системе справочной информации Lenovo, ThinkVantage начнет случай Internet Explorer через временный счет администратора, предоставляя ему привилегии уровня администратора.

«Оттуда, у непривилегированного нападавшего есть много способов эксплуатировать случай веб-браузера, бегущий под привилегиями Администратора поднять его собственные привилегии Администратору или СИСТЕМЕ», сказал Sofiane Talmat IOACTIVE.

IOActive уведомил Lenovo в начале месяца, и производитель аппаратных средств выпустил Системную версию 5.07.0019 Обновления ThinkVantage, чтобы устранить эти две проблемы.