Los atacantes podrían haber tenido acceso a las cuentas de administrador
Lenovo anunció actualizaciones de seguridad para su herramienta de ThinkVantage que viene preinstalado en todos los ordenadores portátiles de la compañía. Esta última actualización resuelve dos vulnerabilidades de escalada de privilegios descubiertos por IOActive.
ThinkVantage System Update es un paquete de software que Lenovo dice que ayudará a los usuarios a ahorrar tiempo y esfuerzo necesarios para traer siempre los últimos controladores, BIOS y otras aplicaciones para sus sistemas Lenovo Think o.
Los atacantes pueden predecir el nombre de usuario y la contraseña de una cuenta de administrador
Investigadores IOActive encontraron dos fallas en ThinkVantage 5.07.0013 que permitieron a los atacantes para desovar procesos a nivel de administración en los dispositivos afectados. Ambos temas tienen la misma causa, una cuenta de administrador temporal creado durante la instalación del paquete de ThinkVantage, cuenta que nunca fue eliminado después.
El primer número, CVE-2015-8109, permite a los atacantes acceder a esta cuenta temporal. Según el equipo de IOActive, se genera el nombre de usuario y la contraseña para esta cuenta utilizando un algoritmo predecible que utiliza caracteres aleatorios basados en la hora actual del dispositivo.
El nombre de usuario era en forma de «tvsu_tmp_xxxxxXXXXX», donde X y X eran personajes generados aleatoriamente. Si el atacante se ve en la fecha y hora de los archivos creados durante el proceso de instalación, se puede determinar el momento en que se creó la cuenta y luego generar ambos caracteres aleatorios del nombre de usuario y la contraseña en sí.
Privilegios de administrador a través de Internet Explorer
La segunda cuestión, CVE-2015-8110, era mucho más fácil de explotar. Cada vez que los usuarios podrían hacer clic en vínculos dentro del sistema de ayuda de Lenovo, ThinkVantage sería iniciar una instancia de Internet Explorer a través de la cuenta de administrador temporal, otorgándole privilegios de nivel de administrador.
«A partir de ahí, un atacante sin privilegios tiene muchas maneras de explotar la instancia del navegador web que se ejecuta con privilegios de administrador para elevar sus propios privilegios de administrador o sistema», dijo de IOActive Sofiane Talmat.
IOActive notificó Lenovo al comienzo del mes, y el fabricante de hardware lanzado ThinkVantage System Update versión 5.07.0019 para solucionar estos dos problemas.