引言
聯想膝上型電腦,包括 ThinkPad 和 Yoga 型號,容易受到“CVE-2021-3922”和“CVE-2021-3969”許可權提升漏洞的影響,攻擊者可以利用這些漏洞以管理員許可權執行命令。
簡況
CVE-2021-3922是一個競爭條件漏洞該漏洞可能允許本地攻擊者連線 IMController 子程序的命名管道並與之互動。CVE-2021-3969是一個Time of Check Time of Use(TOCTOU)漏洞,該漏洞允許本地攻擊者提升許可權。
CVE-2021-3922 和 CVE-2021-3969漏洞可以影響Lenovo System Interface Foundation版本中,低於 1.1.20.3版本的 ImControllerService 元件。此服務在Windows上顯示的名稱為“System Interface Foundation Service”,如下圖:
Lenovo System Interface Foundation Service提供了關鍵功能的介面,包括系統電源管理、系統最佳化、驅動程式和應用程式更新。該服務可以幫助 Lenovo 裝置與 Lenovo Companion、Lenovo Settings 和 Lenovo ID 等通用應用程式進行通訊,預設預裝在許多聯想裝置上,包括 Yoga 和 ThinkPad 裝置。如果禁用此服務,Lenovo 應用程式將無法正常執行。
由於 ImController 需要從聯想伺服器獲取和安裝檔案、執行子程序以及執行系統配置和維護任務,因此以 SYSTEM 許可權執行。SYSTEM 許可權是 Windows 中可用的最高使用者許可權,允許某人在作業系統上執行幾乎任何命令。
總結
研究人員於 2021 年 10 月 29 日向聯想報告了此次發現,2021年11月17日,聯想釋出了安全更新,並於2021年12月15日公佈了相關的資訊公告。建議所有使用執行 ImController 1.1.20.2 或更早版本的聯想電腦的 Windows 使用者升級到最新的可用版本 (1.1.20.3)。
關注微信公眾號:安恆威脅情報中心
獲取一手原創安全分析報告
