Не успело ещё у владельцев ноутбуков Lenovo исчезнуть разочарование от предыдущего прокола в безопасности компьютеров, как их постигла новая напасть. Компания IOActive, занимающаяся безопасностью компьютеров, сообщает о бреши в фирменной системе обновления ПО. Дыра позволяет хакерам как установить на компьютер жертвы свои программы вместо обновляемых, так и удалённо выполнять команды от имени системы.

Первый недочёт найден в программе обновления, которая скачивает из интернета исполняемые файлы, и запускает их. Файлы в целях безопасности подписаны электронной подписью, но программа обновления неправильно проверяет её подлинность, не до конца обрабатывая цепочку доверия центров сертификации. Хакер, выступая в роли MitM где-нибудь в кафе, где пользователь решил обновить свой софт (есть даже термин «coffee shop attack»), способен подменить исполняемые файлы своими программами, а обновление примет их, как родных, поскольку не распознает подделку.

Второй недочёт программы обновления состоит в проверке файлов на подпись в то время, как они находятся в директории, имеющей доступ на запись для любого пользователя. Теоретически, исполняющаяся локально зловредная программа может подменить исполняемые файлы в момент между окончанием проверки на подлинность и запуском исполняемого файла.

Третья проблема относится к самому процессу обновления системы. Для этих действий необходимы системные привилегии, поэтому обновлением занимается процесс, работающий от пользователя SYSTEM. Команды на обновления он принимает от пользователя без привилегий. И хотя в целях безопасности процесс обновления требует аутентификации от пользователя, на деле идентификационная метка легко подделывается, что позволяет пользователю без привилегий исполнять команды от имени системы.

Уязвимости присутствуют как в версии обновлялки Lenovo System Update 5.6.0.27, так и в более ранних версиях.