近日,安全公司IOActive在聯想系列計算機上發現安全漏洞,攻擊者可將電腦上的合法應用程序替換為惡意的應用程序,并可遠程執行惡意指令。
IOActive的安全研究員在公告中詳細闡述了這三個漏洞,攻擊者可繞過聯想系統的應用程序完整性檢測,從而在聯想設備上執行惡意程序。
一、簽名驗證漏洞(CVE-2015-2233)
攻擊者可偽造一個證書授權,然后再用它創建一個代碼簽名證書(code-signing),之后就可對可執行文件進行簽名了。究其原因就是System Update不能有效的驗證證書授權,所以才會接受并執行用偽造證書簽名的可執行文件。
二、本地提權漏洞(CVE-2015-2234)
因為要將可執行文件保存在可寫目錄中,聯想需要在驗證簽名和運行保存的可執行文件中間創建一個競態條件(race condition)。本地攻擊者會在等待System Update驗證可執行文件簽名的同時提升本地權限,然后在System Update沒有運行可執行文件之前迅速的將其替換成惡意版本的可執行文件。
三、執行任意代碼漏洞(CVE-2015-2219)
該漏洞是危害度極高的一漏洞,如果被攻擊者成功利用,系統中最低權限的用戶都可運行任意代碼。聯想試圖通過要求用戶使用一些認證方式(如安全標記)來限制訪問System Update服務器。然而不幸的是,該標記可被攻擊者輕而易舉的猜到,而且任意用戶都可以產生這一標記。
結果就是無論權限多低的攻擊者都可以執行和System Update一樣的操作。攻擊者會生成一個有效的標記,里面會包含將被執行的命令。SUService.exe將會以SYSTEM 用戶的權限執行命令。
受影響的設備
受影響的設備有:ThinkPad、ThinkCenter和ThinkStation產品,另外還包括V、B、K、E系列的設備。目前這三個漏洞均已打上補丁,建議聯想用戶盡快更新。
京公網安備 11010502049343號