• IT-Karriere:
  • Services:

Lenovo Solution Centre: Sicherheitslücke in vorinstalliertem Lenovo-Tool

Über eine Sicherheitslücke im Lenovo Solution Centre lassen sich die Rechte eines Nutzers oder einer Schadsoftware ausweiten. Lenovo wird die Lücke nicht schließen und rät zur Deinstallation - dabei hat der Hersteller mehrfach das Supportende geändert.

Artikel veröffentlicht am ,
Der PC-Hersteller rät zur Deinstallation des Lenovo Solution Centre.
Der PC-Hersteller rät zur Deinstallation des Lenovo Solution Centre. (Bild: Acid Pix/CC-BY 2.0)

Seit 2011 liefert Lenovo viele Rechner mit der vorinstallierten Software Lenovo Solution Centre (LSC) aus. Sie enthält eine Sicherheitslücke, mit der Angreifer ihre Rechte ausweiten können. Die Sicherheitsfirma Pen Test Partners entdeckte die Sicherheitslücke und meldete sie an Lenovo. Statt die Lücke zu schließen, reagierte der PC-Hersteller mit einem vorgezogenen Supportende, das er mehrfach änderte. Insbesondere auf älteren Rechnern von Lenovo, deren Betriebssystem nicht neu installiert wurde, könnte die Software noch aktiv sein. Erst 2015 machte Lenovo Schlagzeilen mit der vorinstallierten Adware Superfish und musste Millionen US-Dollar Strafe bezahlen.

Stellenmarkt
  1. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. CP Erfolgspartner AG, Köln

Die Sicherheitslücke selbst lässt sich recht trivial ausnutzen. Das Lenovo Solution Centre läuft laut Pen Test Partners mit den höchsten Rechten und überschreibt exakt 10 Minuten nach dem Anmelden einen Benutzers die Discretionary Access Control List (DACL) des Ordners, in dem sie ihre Logdateien ablegt: C:\ProgramData\Lenovo\LSC\log\. Ein Nutzer kann in diesem Ordner eine Datei mit beliebigem Namen erstellen und eine Verknüpfung auf eine beliebige andere Datei legen. Als Beispiel nennen die Pen Test Partners die Hosts-Datei des Systems, welche nur mit Adminrechten schreibbar ist. Das Lenovo Solution Centre überschreibt dessen Rechte und der Nutzer - oder eine Schadsoftware - kann die Datei bearbeiten.

Auch Schadcode lässt sich auf diese Weise mit Administratorrechten ausführen: Hierzu muss eine DLL-Datei verlinkt werden, die von einem Prozess geladen wird, der mit höheren Rechten läuft. Wurden die Rechte von der Lenovo-Software neu gesetzt, lässt sich die Datei mit Shellcode überschreiben.

End-of-Life statt Fix

Laut den Pen Test Partners habe Lenovo das Supportende der Software mehrmals geändert. Erst sei es auf November 2018 datiert gewesen, nach der Veröffentlichung der Sicherheitslücke habe Lenovo das Supportende kurzerhand auf April 2018 zurückdatiert. Die aktuelle Version des Lenovo Solution Centre war allerdings im Oktober 2018 - also rund ein halbes Jahr nach dem rückdatierten Supportende - erschienen. Dem Onlinemagazin The Register erklärte Lenovo, das auch nach einem offiziellen Supportende noch Software-Updates erscheinen könnten.

Rund eine Woche nach der Veröffentlichung der Sicherheitslücke hat Lenovo nun das Supportende mit dem Hinweis "Tippfehler im End-of-Life-Datum korrigiert" erneut geändert. Das Lenovo Solution Centre hat demnach ein Jahr später, im April 2019, sein Supportende erreicht. Lenovo rät Nutzern, die Software zu deinstallieren und gegebenenfalls durch Lenovo Vantage oder Lenovo Diagnostics zu ersetzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. bis zu 20% auf Nvidia, bis zu 25% auf be quiet!, bis zu 15% auf AMD und bis zu 20% auf Intel...
  2. 79€ (Bestpreis!)
  3. 79€ (Bestpreis!)
  4. (u. a. 65UM7100PLA für 689€, 49SM8500PLA für 549€ und 75SM8610PLA Nanocell für 1.739€)

BrechMichel 27. Aug 2019

Wenn ich ein neues Notebook kauf wird das erstmal platt gemacht und ne saubere Windows...


Folgen Sie uns
       


Motorola Razr (2019) - Hands on

Das neue Motorola Razr lässt sich wie das alte Razr V3 zusammenklappen - das Display ist allerdings faltbar und geht über die gesamte Innenfläche des Smartphones.

Motorola Razr (2019) - Hands on Video aufrufen
Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

Arbeitsklima: Schlangengrube Razer
Arbeitsklima
Schlangengrube Razer

Der Gaming-Zubehörspezialist Razer pflegt ein besonders cooles Image - aber Firmengründer und Chef Tan Min-Liang soll ein von Sexismus und Rassismus geprägtes Arbeitsklima geschaffen haben. Nach Informationen von Golem.de werden Frauen auch in Europa systematisch benachteiligt.
Ein Bericht von Peter Steinlechner

  1. Razer Blade Stealth 13 im Test Sieg auf ganzer Linie
  2. Naga Left-Handed Edition Razer will seine Linkshändermaus wieder anbieten
  3. Junglecat Razer-Controller macht das Smartphone zur Switch

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

    •  /