Abo
  • IT-Karriere:

Lenovo Solution Centre: Sicherheitslücke in vorinstalliertem Lenovo-Tool

Über eine Sicherheitslücke im Lenovo Solution Centre lassen sich die Rechte eines Nutzers oder einer Schadsoftware ausweiten. Lenovo wird die Lücke nicht schließen und rät zur Deinstallation - dabei hat der Hersteller mehrfach das Supportende geändert.

Artikel veröffentlicht am ,
Der PC-Hersteller rät zur Deinstallation des Lenovo Solution Centre.
Der PC-Hersteller rät zur Deinstallation des Lenovo Solution Centre. (Bild: Acid Pix/CC-BY 2.0)

Seit 2011 liefert Lenovo viele Rechner mit der vorinstallierten Software Lenovo Solution Centre (LSC) aus. Sie enthält eine Sicherheitslücke, mit der Angreifer ihre Rechte ausweiten können. Die Sicherheitsfirma Pen Test Partners entdeckte die Sicherheitslücke und meldete sie an Lenovo. Statt die Lücke zu schließen, reagierte der PC-Hersteller mit einem vorgezogenen Supportende, das er mehrfach änderte. Insbesondere auf älteren Rechnern von Lenovo, deren Betriebssystem nicht neu installiert wurde, könnte die Software noch aktiv sein. Erst 2015 machte Lenovo Schlagzeilen mit der vorinstallierten Adware Superfish und musste Millionen US-Dollar Strafe bezahlen.

Stellenmarkt
  1. rhenag Rheinische Energie Aktiengesellschaft, Siegburg
  2. Diehl Connectivity Solutions GmbH, Wangen im Allgäu / Nürnberg

Die Sicherheitslücke selbst lässt sich recht trivial ausnutzen. Das Lenovo Solution Centre läuft laut Pen Test Partners mit den höchsten Rechten und überschreibt exakt 10 Minuten nach dem Anmelden einen Benutzers die Discretionary Access Control List (DACL) des Ordners, in dem sie ihre Logdateien ablegt: C:\ProgramData\Lenovo\LSC\log\. Ein Nutzer kann in diesem Ordner eine Datei mit beliebigem Namen erstellen und eine Verknüpfung auf eine beliebige andere Datei legen. Als Beispiel nennen die Pen Test Partners die Hosts-Datei des Systems, welche nur mit Adminrechten schreibbar ist. Das Lenovo Solution Centre überschreibt dessen Rechte und der Nutzer - oder eine Schadsoftware - kann die Datei bearbeiten.

Auch Schadcode lässt sich auf diese Weise mit Administratorrechten ausführen: Hierzu muss eine DLL-Datei verlinkt werden, die von einem Prozess geladen wird, der mit höheren Rechten läuft. Wurden die Rechte von der Lenovo-Software neu gesetzt, lässt sich die Datei mit Shellcode überschreiben.

End-of-Life statt Fix

Laut den Pen Test Partners habe Lenovo das Supportende der Software mehrmals geändert. Erst sei es auf November 2018 datiert gewesen, nach der Veröffentlichung der Sicherheitslücke habe Lenovo das Supportende kurzerhand auf April 2018 zurückdatiert. Die aktuelle Version des Lenovo Solution Centre war allerdings im Oktober 2018 - also rund ein halbes Jahr nach dem rückdatierten Supportende - erschienen. Dem Onlinemagazin The Register erklärte Lenovo, das auch nach einem offiziellen Supportende noch Software-Updates erscheinen könnten.

Rund eine Woche nach der Veröffentlichung der Sicherheitslücke hat Lenovo nun das Supportende mit dem Hinweis "Tippfehler im End-of-Life-Datum korrigiert" erneut geändert. Das Lenovo Solution Centre hat demnach ein Jahr später, im April 2019, sein Supportende erreicht. Lenovo rät Nutzern, die Software zu deinstallieren und gegebenenfalls durch Lenovo Vantage oder Lenovo Diagnostics zu ersetzen.



Anzeige
Spiele-Angebote
  1. 51,95€
  2. (-72%) 8,30€
  3. (-12%) 52,99€
  4. 4,19€

BrechMichel 27. Aug 2019 / Themenstart

Wenn ich ein neues Notebook kauf wird das erstmal platt gemacht und ne saubere Windows...

Kommentieren


Folgen Sie uns
       


LG G8x Thinq - Hands on

Das G8x Thinq von LG kann mit einer speziellen Hülle verwendet werden, die dem Smartphone einen zweiten Bildschirm hinzufügt. Golem.de hat sich das Gespann in einem ersten Kurztest angeschaut.

LG G8x Thinq - Hands on Video aufrufen
Serielle Hybride: Unterschätzte Zwischenlösung oder längst überholt?
Serielle Hybride
Unterschätzte Zwischenlösung oder längst überholt?

Die reine E-Mobilität kommt nicht so schnell voran, wie es Klimaziele und Luftreinhaltepläne erfordern. Doch viele Fahrzeughersteller stellen derweil eine vergleichsweise simple Technologie auf die Räder, die für eine Zukunft ohne fossile Kraftstoffe Erkenntnisse liefern kann.
Von Mattias Schlenker

  1. ADAC Keyless-Go bietet Autofahrern keine Sicherheit
  2. Gesetzentwurf beschlossen Regierung verlängert Steuervorteile für Elektroautos
  3. Cabrio Renault R4 Plein Air als Elektro-Retroauto

E-Auto: Byton zeigt die Produktionsversion des M-Byte
E-Auto
Byton zeigt die Produktionsversion des M-Byte

IAA 2019 Die Premiere von Byton in Frankfurt ist überraschend. Da der M-Byte im kommenden Jahr in China startet, ist die Vorstellung des produktionsreifen Elektroautos in Deutschland etwas Besonderes.
Ein Bericht von Dirk Kunde

  1. IAA 2019 PS-Wahn statt Visionen

Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

    •  /