Уязвимости в утилите позволяли атакующему получить права администратора.
ИБ-исследователь из компании IOActive Софиан Талмат (Sofiane Talmat) обнаружил две уязвимости повышения привилегий в утилите Lenovo System Update, предназначенной для поиска обновлений для драйверов и BIOS.
Талмат выявил в утилите уязвимость CVE-2015-8109, которая позволяла обычному пользователю получить права администратора. «С момента запуска главного процесса Tvsukernel.exe с правами администратора экземпляр web-браузера, который начинал открывать справки URL, также получал права администратора. Атакующий мог проэксплуатировать такой экземпляр web-браузера для повышения своих привилегий до прав администратора или системы», - рассказал Талмат.
Вторая уязвимость CVE-2015-8110 относилась к слабой криптографии, позволяющей использовать для повышения привилегий временную учетную запись администратора Lenovo System Update. «В некоторых случаях и при определенных обстоятельствах злоумышленник мог угадать имя и пароль пользователя, и проэксплуатировать их для повышения привилегий», - отметил Талмат.
Компания Lenovo получила уведомления об уязвимостях и уже выпустила обновления, исправляющие бреши.