Laptops de Lenovo son vulnerables a errores que permiten obtener privilegios de administrador
Las computadoras portátiles Lenovo, incluidos los modelos ThinkPad y Yoga, son vulnerables a un error de elevación de privilegios. El error está presente en el servicio ImControllerService que permite a los atacantes ejecutar comandos con privilegios de administrador.
Las vulnerabilidades identificadas como CVE-2021-3922 y CVE-2021-3969 afectan el componente ImControllerService de todas las versiones anteriores de Lenovo System Interface Foundation 1.1.20.3. Al visualizar la pantalla de servicios de Windows, este servicio tiene el nombre de visualización “System Interface Foundation Service”.
El servicio en particular es un componente de Lenovo System Interface Foundation, que ayuda a los dispositivos Lenovo a comunicarse con aplicaciones universales como Lenovo Companion, Lenovo Settings y Lenovo ID. El servicio está preinstalado de forma predeterminada en numerosos modelos de Lenovo, incluidos los dispositivos Yoga y ThinkPad.
“Lenovo System Interface Foundation Service proporciona interfaces para funciones clave. Por ejemplo, administración de energía del sistema, optimización del sistema, actualizaciones de controladores y aplicaciones, y configuraciones del sistema para aplicaciones de Lenovo. Esto incluye Lenovo Companion, Lenovo Settings y Lenovo ID”.
Descripción del servicio de Windows.
Si desactivas este servicio, las aplicaciones de Lenovo no funcionarán correctamente.
El descubrimiento de las vulnerabilidades fue obra de investigadores de NCC Group, quienes reportaron sus hallazgos a Lenovo el 29 de octubre de 2021.
El fabricante de computadoras lanzó las actualizaciones de seguridad el 17 de noviembre de 2021, mientras que el aviso se publicó el 14 de diciembre de 2021.
Componente del sistema vulnerable
Debido a que ImController necesita buscar e instalar archivos de los servidores de Lenovo, ejecutar procesos secundarios y realizar tareas de configuración y mantenimiento del sistema, se ejecuta con privilegios de SYSTEM.
Los privilegios de SYSTEM son los permisos de usuario más altos en Windows y permiten que alguien ejecute casi cualquier comando en el sistema operativo. Esencialmente, si un usuario obtiene privilegios de SYSTEM en Windows, obtiene un control completo sobre el sistema. El usuario puede instalar malware, agregar usuarios o cambiar casi cualquier configuración del sistema.
Este servicio de Windows genera más procesos secundarios, que abren servidores de tuberías con nombre que el servicio ImController utiliza para comunicarse con el proceso secundario. Cuando ImController necesita uno de estos servicios para ejecutar un comando, se conecta a la tubería y emite comandos serializados XML que deben ejecutarse.
Desafortunadamente, el servicio no administra las comunicaciones entre los procesos secundarios privilegiados de forma segura y no valida la fuente de los comandos XML serializados. Esto significa que cualquier otro proceso, incluso los maliciosos, puede conectarse al proceso hijo para emitir sus propios comandos.
Como tal, un atacante que aproveche esta brecha de seguridad puede enviar una instrucción para cargar un ‘complemento’ desde una ubicación arbitraria en el sistema de archivos.
Vulnerabilidades
“La primera vulnerabilidad es una condición de carrera entre un atacante y el proceso principal que se conecta a la tubería con nombre del proceso secundario”.
NCC Group.
Un atacante que utilice rutinas de sincronización del sistema de archivos de alto rendimiento puede ganar de manera confiable la carrera con el proceso principal para conectarse a la tubería.
Los investigadores subrayan que su código de prueba de concepto nunca falló al conectarse a la tubería antes de que el servicio principal pudiera hacerlo. Es decir, el exploit es muy confiable.
La segunda vulnerabilidad es una vulnerabilidad de time-of-check to time-of-use (TOCTOU) que permite a un atacante detener el proceso de carga de un complemento ImControllerService validado y reemplazarlo con una DLL de su elección.
Una vez que se libera el bloqueo y continúa el procedimiento de carga, se ejecuta la DLL, lo que lleva a la escalada de privilegios.
La actualización es la única solución
Recomendamos a todos los usuarios de Windows actuar inmediatamente con computadoras portátiles o de escritorio Lenovo que ejecutan la versión 1.1.20.2 de ImController o anterior. Deben actualizar a la última versión disponible (1.1.20.3).
Para determinar qué versión estás ejecutando, debes seguir estos pasos:
- Abrir el Explorador de archivos y navegar hasta C:\Windows\Lenovo\ImController\PluginHost\.
- Debes hacer clic con el botón derecho en Lenovo.Modern.ImController.PluginHost.exe y seleccionar Propiedades.
- Haz clic en la pestaña Detalles.
- Tienes que leer la versión del archivo.
Oficialmente, no es recomendable eliminar el componente ImController, o Lenovo System Interface Foundation de tu dispositivo. Eliminarlo puede afectar algunas funciones de tu dispositivo, incluso si no lo consideras esencial.