聯(lián)想電腦自帶程序 Lenovo Solution Center(LSC)曾在去年被爆出嚴(yán)重安全問題。近期,該程序的多個安全問題導(dǎo)致了三個 CVE 高危漏洞,三個漏洞允許攻擊者實(shí)現(xiàn)提權(quán)操作或終止任意系統(tǒng)進(jìn)程。聯(lián)想官方敦促用戶盡快把該軟件升級到最新版,否則,即將發(fā)布的Win10一周年RTM正式版也將受此威脅。
5月初,安全公司 Trustware 發(fā)現(xiàn)聯(lián)想 LSC 2.8 軟件存在高危提權(quán)漏洞,并告知聯(lián)想進(jìn)行修復(fù);之后聯(lián)想發(fā)布了LSC 3.3 修復(fù)版本,6月底,Trustware 再次發(fā)現(xiàn) LSC 3.3 版本存在另外兩個高危漏洞,仍然可以導(dǎo)致提權(quán)。
1、CVE-2016-1876系統(tǒng)提權(quán)漏洞
公布時間:5月11日
影響版本:LSC 2.8 版本和早期版本
描述:
Lenovo Solution Center 2.8之前版本允許LocalSystem權(quán)限運(yùn)行設(shè)備管理器進(jìn)程,可以通過CMD命令以及對主機(jī)55555端口發(fā)起HTTP請求來實(shí)現(xiàn),原因在于LSC使用自定義HTTP服務(wù)處理命令和接收數(shù)據(jù)時,不需系統(tǒng)任何授權(quán)檢查。利用該漏洞可以取得系統(tǒng)權(quán)限執(zhí)行惡意軟件,甚至在使用者未開啟執(zhí)行LSC應(yīng)用軟件的狀況下,仍可實(shí)現(xiàn)漏洞攻擊。
漏洞詳情: trustwave –CVE-2016-1876
(1) 以普通用戶登錄安裝有Lenovo Solution Center 2.8.006 的系統(tǒng)
(2) 執(zhí)行以下cmd命令開啟LSCWinService服務(wù):
sc start LSCWinService StartBackend
或者通過控制面板運(yùn)行 Lenovo System Health and Diagnostics 程序。
(3) 在網(wǎng)頁瀏覽器中執(zhí)行以下請求:
http://localhost:55555/?v=1&controller=Actions&method=RunDeviceManeger
可以看到設(shè)備管理器出現(xiàn),它是以LocalSystem 賬戶運(yùn)行的,而不是當(dāng)前賬戶。
(4) 使用設(shè)備管理器選擇安裝用戶模式或內(nèi)核模式的驅(qū)動程序,通過在INF文件中加載漏洞代碼或動態(tài)庫,實(shí)現(xiàn)提權(quán)操作,只要設(shè)備管理器以LocalSystem權(quán)限運(yùn)行,就可以執(zhí)行更高權(quán)限代碼。
漏洞演示視頻:
http://v.youku.com/v_show/id_XMTY0NjI0ODUyNA==.html
2、CVE-2016-5248任意進(jìn)程終止漏洞
公布時間:6月23日
影響版本:LSC 3.3.002版本和早期版本
描述:
任何本地用戶在安裝了 Lenovo Solution Center 3.3.002 或之前版本的系統(tǒng)中,利用以下命令可以終止任意進(jìn)程:
sc start LSC.Services.SystemService StopProxy
這可以被攻擊者用來作進(jìn)一步攻擊,如終止殺毒軟件或其它安全軟件進(jìn)程。
漏洞詳情:trustwave –CVE-2016-5248
3、CVE-2016-5249 任意代碼執(zhí)行漏洞
公布時間:6月23日
影響版本:LSC 3.3.002版本和之前版本
描述:
當(dāng)普通用戶啟動服務(wù) LSC.Services.SystemService,這項(xiàng)服務(wù)有三個傳遞參數(shù),解釋為:命名管道名字、互斥體名稱和進(jìn)程ID。這項(xiàng)服務(wù)設(shè)置的權(quán)限為任何權(quán)限用戶都可以啟動和停止。
服務(wù)以TCP服務(wù)端和一個隨機(jī)端口方式啟動,并利用命名管道向TCP服務(wù)端發(fā)送 IP:PORT配對信息。如果攻擊者利用自己的命名管道服務(wù),然后啟動LSC.Services.SystemService,他將與 TCP 終端形成連接。
因?yàn)門CP服務(wù)提供了幾個API,其中一個為從磁盤加載.NET組件,聯(lián)想利用此API在受信路徑下加載.NET組件,但實(shí)際上,裝有 Lenovo Solution Center 軟件的系統(tǒng),使用目錄遍歷模式,就可在磁盤的同一分區(qū)上加載任意.NET組件,由于TCP服務(wù)以 LocalSystem 權(quán)限運(yùn)行,這個過程中,攻擊者可以通過加載惡意組件而實(shí)現(xiàn)任意代碼執(zhí)行。
漏洞詳情:trustwave –CVE-2016-5249
POC:Github
解決方法
(1)升級Lenovo Solution Center 至最新版本;
(2)卸載 Lenovo Solution Center 軟件。
*本文譯者:clouds,文章編譯來源:trustwave spiderlabs ,轉(zhuǎn)載須注明來自FreeBuf(FreeBuf.COM)