Se han reportado dos vulnerabilidades en ordenadores Lenovo (incluyendo portátiles, servidores y equipos de sobremesa). Las vulnerabilidades son consideradas de gravedad alta y podrían permitir a un atacante local ejecutar código arbitrario y elevar privilegios dentro del sistema. Una vez más los problemas residen en el software propietario preinstalado por Lenovo.

Las vulnerabilidades han sido reportadas a través de auditorías internas de la propia compañía y por Alexander Ermolov de Digital Security ltd.

Detalle e Impacto de la primera vulnerabilidad

  • En el primer problema, con CVE-2016-8223, en el que un atacante local con privilegios limitados podría aprovecharse de un error en Lenovo System Interface Foundation (Lenovo.Modern.ImController.exe o Lenovo.Modern.ImController.PluginHost.exe que funciona como servicio en el administrador de tareas de Windows 10) para ejecutar código arbitrario dentro del sistema con privilegios de administrador. Lenovo Sistem Interface Foundation proporciona servicios, drivers y aplicaciones de ayuda a otros softwares propios de Lenovo y otros servicios dentro de Windows 10.

Recursos afectados

  • Afecta a todos los Thinkpad, Thinkcentre, ThinkStation y sistemas Lenovo preinstalados con Windows 10 u cualquier otro sistema que ejecute Lenovo Companion, Lenovo Settins o Lenovo ID.

Recomendación

Detalle e Impacto de la primera vulnerabilidad

  • El segundo problema, con CVE-2016-8224, podría permitir a un atacante con privilegios administrativos en el sistema causar una denegación de servicio y/o elevar privilegios dentro del sistema a través de una aplicación especialmente manipulada que eluda restricciones de las protecciones del Intel Management Engine.
  • Intel Management Engine (ME) es un conjunto de características hardware desarrolladas por Intel para administrar, reparar y proteger ordenadores dentro de sus propias redes.

Recursos afectados

Lenovo Notebook modelos:

  1. 110-14IBR/110-15IBR
  2. B70-80
  3. E31-80
  4. E40-80
  5. E41-80
  6. E51-80
  7. G40-80
  8. G50-80
  9. G50-80 Touch
  10. Ideapad 300-14IBR/300-15IBR
  11. Ideapad 300-14ISK/300-15ISK/300-17ISK
  12. Ideapad 510S-12ISK
  13. K21-80
  14. K41-80
  15. MIIX 710-12IKB
  16. XiaoXin Air 12
  17. YOGA 510-14ISK/510-15ISK
  18. YOGA 710-11IKB
  19. Yoga 710-11ISK
  20. Yoga 900-13ISK
  21. YOGA 900S-12ISK
  22. ThinkServer TS150
  23. ThinkServer TS250
  24. ThinkServer  TS450
  25. ThinkServer  TS550

Recomendación

  • Lenovo ha publicado actualizaciones para los sistemas afectados, se recomienda consultar la página desde https://support.lenovo.com/es/es/solutions/LEN_9903  para determinar por la versión de la BIOS si el sistema está afectado y la actualización requerida.

Más información:

Fuente: Hispasec

Anuncios