近日,安全公司ioactive在聯想系列計算機上發現安全漏洞,攻擊者可将電腦上的合法應用程式替換為惡意的應用程式,并可遠端執行惡意指令。
ioactive的安全研究員在公告中詳細闡述了這三個漏洞,攻擊者可繞過聯想系統的應用程式完整性檢測,進而在聯想裝置上執行惡意程式。
一、簽名驗證漏洞(cve-2015-2233)
攻擊者可僞造一個證書授權,然後再用它建立一個代碼簽名證書(code-signing),之後就可對可執行檔案進行簽名了。究其原因就是system update不能有效的驗證證書授權,是以才會接受并執行用僞造證書簽名的可執行檔案。
二、本地提權漏洞(cve-2015-2234)
因為要将可執行檔案儲存在可寫目錄中,聯想需要在驗證簽名和運作儲存的可執行檔案中間建立一個競态條件(race condition)。本地攻擊者會在等待system update驗證可執行檔案簽名的同時提升本地權限,然後在system update沒有運作可執行檔案之前迅速的将其替換成惡意版本的可執行檔案。
三、執行任意代碼漏洞(cve-2015-2219)
該漏洞是危害度極高的一漏洞,如果被攻擊者成功利用,系統中最低權限的使用者都可運作任意代碼。聯想試圖通過要求使用者使用一些認證方式(如安全标記)來限制通路system update伺服器。然而不幸的是,該标記可被攻擊者輕而易舉的猜到,而且任意使用者都可以産生這一标記。
結果就是無論權限多低的攻擊者都可以執行和system update一樣的操作。攻擊者會生成一個有效的标記,裡面會包含将被執行的指令。suservice.exe将會以system 使用者的權限執行指令。
受影響的裝置
受影響的裝置有:thinkpad、thinkcenter和thinkstation産品,另外還包括v、b、k、e系列的裝置。目前這三個漏洞均已打上更新檔,建議聯想使用者盡快更新。
作者:fber
來源:51cto