Lenovo Solution Centre: Sicherheitslücke in vorinstalliertem Lenovo-Tool

Über eine Sicherheitslücke im Lenovo Solution Centre lassen sich die Rechte eines Nutzers oder einer Schadsoftware ausweiten. Lenovo wird die Lücke nicht schließen und rät zur Deinstallation - dabei hat der Hersteller mehrfach das Supportende geändert.

Artikel veröffentlicht am ,
Der PC-Hersteller rät zur Deinstallation des Lenovo Solution Centre.
Der PC-Hersteller rät zur Deinstallation des Lenovo Solution Centre. (Bild: Acid Pix/CC-BY 2.0)

Seit 2011 liefert Lenovo viele Rechner mit der vorinstallierten Software Lenovo Solution Centre (LSC) aus. Sie enthält eine Sicherheitslücke, mit der Angreifer ihre Rechte ausweiten können. Die Sicherheitsfirma Pen Test Partners entdeckte die Sicherheitslücke und meldete sie an Lenovo. Statt die Lücke zu schließen, reagierte der PC-Hersteller mit einem vorgezogenen Supportende, das er mehrfach änderte. Insbesondere auf älteren Rechnern von Lenovo, deren Betriebssystem nicht neu installiert wurde, könnte die Software noch aktiv sein. Erst 2015 machte Lenovo Schlagzeilen mit der vorinstallierten Adware Superfish und musste Millionen US-Dollar Strafe bezahlen.

Stellenmarkt
  1. Junior-Inhouse-Consultant (m/w/d)
    MVV Energie AG, Mannheim
  2. Senior-Softwareentwickler (w/m/d) Java - Produktentwicklung
    SSI SCHÄFER IT Solutions GmbH, Münster
Detailsuche

Die Sicherheitslücke selbst lässt sich recht trivial ausnutzen. Das Lenovo Solution Centre läuft laut Pen Test Partners mit den höchsten Rechten und überschreibt exakt 10 Minuten nach dem Anmelden einen Benutzers die Discretionary Access Control List (DACL) des Ordners, in dem sie ihre Logdateien ablegt: C:\ProgramData\Lenovo\LSC\log\. Ein Nutzer kann in diesem Ordner eine Datei mit beliebigem Namen erstellen und eine Verknüpfung auf eine beliebige andere Datei legen. Als Beispiel nennen die Pen Test Partners die Hosts-Datei des Systems, welche nur mit Adminrechten schreibbar ist. Das Lenovo Solution Centre überschreibt dessen Rechte und der Nutzer - oder eine Schadsoftware - kann die Datei bearbeiten.

Auch Schadcode lässt sich auf diese Weise mit Administratorrechten ausführen: Hierzu muss eine DLL-Datei verlinkt werden, die von einem Prozess geladen wird, der mit höheren Rechten läuft. Wurden die Rechte von der Lenovo-Software neu gesetzt, lässt sich die Datei mit Shellcode überschreiben.

End-of-Life statt Fix

Laut den Pen Test Partners habe Lenovo das Supportende der Software mehrmals geändert. Erst sei es auf November 2018 datiert gewesen, nach der Veröffentlichung der Sicherheitslücke habe Lenovo das Supportende kurzerhand auf April 2018 zurückdatiert. Die aktuelle Version des Lenovo Solution Centre war allerdings im Oktober 2018 - also rund ein halbes Jahr nach dem rückdatierten Supportende - erschienen. Dem Onlinemagazin The Register erklärte Lenovo, das auch nach einem offiziellen Supportende noch Software-Updates erscheinen könnten.

Golem Akademie
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
Weitere IT-Trainings

Rund eine Woche nach der Veröffentlichung der Sicherheitslücke hat Lenovo nun das Supportende mit dem Hinweis "Tippfehler im End-of-Life-Datum korrigiert" erneut geändert. Das Lenovo Solution Centre hat demnach ein Jahr später, im April 2019, sein Supportende erreicht. Lenovo rät Nutzern, die Software zu deinstallieren und gegebenenfalls durch Lenovo Vantage oder Lenovo Diagnostics zu ersetzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Geforce Now (RTX 3080) im Test
1440p120 mit Raytracing aus der Cloud

Höhere Auflösung, mehr Bilder pro Sekunde, kürzere Latenzen: Geforce Now mit virtueller Geforce RTX 3080 ist Cloud-Gaming par excellence.
Ein Test von Marc Sauter

Geforce Now (RTX 3080) im Test: 1440p120 mit Raytracing aus der Cloud
Artikel
  1. Encrochat-Hack: Damit würde man keinen Geschwindigkeitsverstoß verurteilen
    Encrochat-Hack
    "Damit würde man keinen Geschwindigkeitsverstoß verurteilen"

    Der Anwalt Johannes Eisenberg hat sich die Daten aus dem Encrochat-Hack genauer angesehen und viel Merkwürdiges entdeckt.
    Ein Interview von Moritz Tremmel

  2. Feldversuch E-Mobility-Chaussee: So schnell bringen E-Autos das Stromnetz ans Limit
    Feldversuch E-Mobility-Chaussee
    So schnell bringen E-Autos das Stromnetz ans Limit

    Das Laden von Elektroautos stellt Netzbetreiber auf dem Land vor besondere Herausforderungen. Ein Pilotprojekt hat verschiedene Lösungen getestet.
    Ein Bericht von Friedhelm Greis

  3. Gigafactory Grünheide: Tesla rekrutiert hauptsächlich regionale Arbeitskräfte
    Gigafactory Grünheide
    Tesla rekrutiert hauptsächlich regionale Arbeitskräfte

    Entgegen den Befürchtungen der Gegner profitieren vor allem Berlin und Brandenburg von Teslas neuer Fabrik in Brandenburg.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" 32:9 Curved QLED 240Hz 1.149€) • Spiele günstiger: PC, PS5, Xbox, Switch • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Cambridge Audio Melomonia Touch 89,95€ • Gaming-Stühle zu Bestpreisen [Werbung]
    •  /