Lenovo: EOL umdatiert, statt Sicherheitslücke zu schließen
MSI RTX SUPER STEAM Bundle

Lenovo: EOL umdatiert, statt Sicherheitslücke zu schließen

Meldung von doelf, Dienstag der 27.08.2019, 13:33:54 Uhr

Das "Lenovo Solution Centre" (LSC) wurde zwischen 2011 und 2018 auf zahlreichen PCs des chinesischen Herstellers vorinstalliert und dürfte weitgehend unbenutzt auf tausenden von Rechnern dahinvegetieren. Und das ist ein Problem, denn über eine Sicherheitslücke (CVE-2019-6177) können sich einfache Nutzer kinderleicht Admin-Rechte ergaunern.

Über das "Lenovo Solution Center" sollte der PC konfiguriert und gewartet werden, doch diese Aufgaben erfüllen die Bordmittel von Windows wesentlich besser. Daher gibt es auch keinen Grund, eines der beiden Nachfolgeprogramme "Lenovo Vantage" oder "Lenovo Diagnostics" zu installieren. Letztendlich handelt es sich bei solchen vorinstallierten Programmen fast immer um "Bloatware", die einen Mehrwert vorgaukelt, den Benutzer aber eigentlich nur zur Registrierung seines Computers bewegen sollen. Hinzu kommt, dass solche Programme oftmals schwere Sicherheitslücken enthalten, wie es sich auch in diesem Fall wieder bestätigt hat.

Bei einer Analyse der britischen Sicherheitsfirma "Pen Test Partners" hat sich gezeigt, dass das LSC eine gefährliche Rechteausweitung (CVE-2019-6177) enthält. Das LSC fügt Windows nämlich einen neuen Task namens "Lenovo Solution Center Launcher" hinzu, der mit höchsten Systemrechten läuft. Exakt zehn Minuten nach der Anmeldung des Benutzers führt dieser Dienst das Programm "LSC.Services.UpdateStatusService.exe" aus, welches die "Discretionary Access Control List" (DACL) im Log-Verzeichnis des LSC überschreibt und dabei allen Benutzern volle Zugriffsrechte einräumt. Bösewichte hinterlegen im Log-Verzeichnis eine Hardlink-Datei, welche auf eine zu übernehmende Datei in einem beliebigen Ordner verweist. Im Anschluss meldet sich der einfache Benutzer ab und wieder an, wartet zehn Minuten und kann die zuvor Administratoren vorbehaltene Datei lesen, ausführen oder auch überschreiben und somit eigenen Code mit vollen Rechten ausführen.

Pen Test Partners hatte das Problem im Mai 2019 bei Lenovo gemeldet. Damals wies der chinesische Hersteller für LSC ein Support-Ende (EOL) im November 2018 aus, die neueste Version des Programms datierte auf den 15. Oktober 2018. Nach Eingang der Fehlermeldung wurde das EOL seitens Lenovo auf April 2018 abgeändert. Dies weckt den Eindruck, dass Lenovo ein Zeitpolster von mehr als zwölf Monaten schaffen wollte, um eine Fehlerbehebung ausschließen zu können. Doch egal ob sechs oder zwölf Monate nach dem EOL, Lenovo wird das LSC nicht mehr reparieren. Doch auf tausenden Computern wird das Programm als gefährlicher Zombie verbleiben - zur Freude missgünstiger Benutzer und Schad-Software-Autoren, die eine so simple Rechteausweitung immer zu schätzen wissen. Wir raten daher, den unsäglichen "Lenovo Solution Center" unverzüglich zu deinstallieren!

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]