Los propietarios de computadoras portátiles Lenovo más antiguas deben desinstalar Lenovo Solution Center lo antes posible.
Los investigadores de seguridad de Pen Test Partners encontraron una vulnerabilidad crítica en el Centro de soluciones de Lenovo que podría ceder los privilegios de administrador a los piratas informáticos o al malware.
Según Pen Test Partners, la falla es una sobrescritura de la lista de control de acceso discrecional (DACL), lo que significa que un usuario con pocos privilegios puede colarse en un archivo sensible al explotar un proceso con muchos privilegios. Este es un ejemplo de un ataque de "escalada privilegiada" en el que se puede utilizar un error para obtener acceso a recursos a los que normalmente solo pueden acceder los administradores.
En este caso, un atacante podría escribir un pseudoarchivo (llamado archivo de vínculo físico) que, cuando lo ejecuta Lenovo Solution Center, accedería a archivos confidenciales a los que, de lo contrario, no debería permitirse acceder. A partir de ahí, el código dañino podría ejecutarse en el sistema con privilegios de administrador o del sistema, que básicamente ha terminado el juego, como señala Pen Test Partners.
Lenovo Solution Center es un programa que se preinstaló en las computadoras portátiles Lenovo desde 2011 hasta noviembre de 2022-2023, lo que significa que millones de dispositivos podrían verse afectados. Irónicamente, el propósito del programa es monitorear el estado y la seguridad de una PC Lenovo. Si bien esta falla no es una gran preocupación para los usuarios individuales que pueden proteger rápidamente sus sistemas, las empresas más grandes que poseen una flota de computadoras portátiles ThinkPad más antiguas y usan software heredado pueden tardar en adaptarse.
Por su parte, Lenovo publicó una declaración de seguridad advirtiendo a los usuarios sobre el error e instándolos a desinstalar Solution Center, que la compañía ya no admite.
"Una vulnerabilidad reportada en Lenovo Solution Center versión 03.12.003, que ya no es compatible, podría permitir que los archivos de registro se escriban en ubicaciones no estándar, lo que podría conducir a una escalada de privilegios. Lenovo finalizó el soporte para Lenovo Solution Center y recomendó que los clientes migren a Lenovo Vantage o Lenovo Diagnostics en abril de 2022-2023 a 2022 ", se lee en el comunicado.
Lenovo no especificó cuándo dejó de enviar computadoras portátiles con Solution Center preinstalado, por lo que es posible que muchas computadoras portátiles Lenovo que tienen menos de un año tengan software no compatible con fallas importantes.
Lenovo también ha sido acusado de cubrir sus huellas. Según Pen Test Partners, después de que informaron a Lenovo de la vulnerabilidad, el fabricante de la computadora supuestamente retiró la fecha de finalización de la vida útil del Centro de soluciones en varios meses para que pareciera que la función se suspendió antes de que se lanzara la última versión en noviembre de 2022-2023. .
"A menudo es el caso de las aplicaciones que alcanzan el final del soporte que continuamos actualizando las aplicaciones a medida que hacemos la transición a nuevas ofertas para asegurarnos de que los clientes que no han hecho la transición, o que eligen no hacerlo, aún tengan un nivel mínimo de soporte, una práctica que no es infrecuente en la industria ", dijo Lenovo a The Register cuando se le preguntó sobre la discrepancia.
Ya sea que Lenovo sea astuto o no, la conclusión es la siguiente: si posee una computadora portátil Lenovo fabricada entre 2011 y 2022-2023, deshágase por completo de Lenovo Solution Center lo antes posible. Puede hacerlo siguiendo esta sencilla guía sobre cómo desinstalar programas en Windows 10.
Laptop Magazine se ha puesto en contacto con Lenovo para hacer comentarios y actualizaremos esta historia cuando recibamos una respuesta.
- Cómo una VPN puede aumentar su seguridad y privacidad | Guía de Tom