Lenovoのラップトップの所有者は、コンピューターのセキュリティに関する以前のパンクからの失望に失望する前に、彼らは新たな不幸に見舞われました。 コンピュータセキュリティ会社のIOActiveは、独自のソフトウェアアップデートシステムのバグを報告しています。 この穴により、ハッカーはアップデートの代わりに被害者のコンピューターにプログラムをインストールし、システムに代わってリモートでコマンドを実行できます。
最初の欠陥はアップデーターにあり、インターネットから実行可能ファイルをダウンロードして起動します。 セキュリティ目的のファイルは電子署名されますが、アップデーターは認証局の信頼チェーンを完全に処理するのではなく、その信頼性を誤って検証します。 ユーザーが自分のソフトウェアを更新することを決めたカフェのどこかでMitMの役割を果たしているハッカー(「コーヒーショップ攻撃」という用語もあります)は、実行可能ファイルを自分のプログラムに置き換えることができます。
アップデータの2番目の欠点は、すべてのユーザーの書き込みアクセス権があるディレクトリにある間にファイルの署名をチェックすることです。 理論的には、ローカルで実行される悪意のあるプログラムは、認証の終了から実行可能ファイルの起動までの間に実行可能ファイルを置き換えることができます。
3番目の問題は、システムの更新プロセス自体に関連しています。 これらのアクションにはシステム権限が必要であるため、SYSTEMユーザーで実行されるプロセスは更新に関与しています。 特権のないユーザーから更新のコマンドを受け取ります。 また、セキュリティ上の理由から、更新プロセスではユーザーの認証が必要ですが、実際には識別タグは簡単に改ざんされているため、ユーザーはシステムの代わりに特権なしでコマンドを実行できます。
脆弱性は、Lenovo System Update 5.6.0.27とそれ以前のバージョンの両方に存在します。