انتشار شده در تاریخ 1395/02/20 - 17:59

حفره جدید امنیتی در نرم‌افزار مدیریتیِ لنوو

به گزارش واحد امنیت سایبربان؛ محققانِ آزمایشگاه Trustwave Spider گزارش دادند که این آسیب‌پذیری به مهاجمانِ مستقر در شبکه‌‌ی محلی اجازه می‌دهد به رایانه شخصی دسترسی یابند و کد دلخواه را در رایانه‌ی قربانی اجرا کنند.

کارل سیگلر یکی از محققان آزمایشگاه Spider گفت: «این حفره به مهاجم اجازه می‌دهد که با استفاده از امتیاز ویژه خودشان را به برنامه LSC متصل کنند».

این حفره دری برای مهاجم باز می‌کند تا LSC را در سامانه‌ی محلی اجرا کند.

LSC تقریباً در همه‌ی دستگاه‌های لنوو از پیش نصب‌شده است. این برنامه به‌عنوان یک داشبورد کنترل‌کننده‌ی امنیت و سلامت سامانه عمل می‌کند؛ کنترل مواردی مانند عمر باتری، به‌روز‌رسانی درایوها و وضعیت دیواره آتش و ... ازجمله وظایف LSC است.

شرکت لنوو، هفته گذشته به‌روز‌رسانی این خطای امنیتی را منتشر کرد. این دومین بار است که سازنده‌ی این مدل رایانه (لنوو) مجبور به تعمیر LSC شده است؛ بار اول دسامبر سال گذشته میلادی این شرکت یک وصله‌ی امنیتی برای LSC عرضه کرد.

سخنگوی شرکت لنوو گفت: «لنوو خیلی سریع وصله‌ی این آسیب‌پذیری را آماده و در روز ۲۶ آوریل توصیه‌نامه‌ای امنیتی خود در مورد این آسیب‌پذیری را منتشر کرد».

سیگلر اذعان کرد: «این آسیب‌پذیری خیلی خطرناک است، اما خوشبختانه به کاربری نیاز دارد تا برای انجام هرگونه حمله به رایانه وارد شود». او گفت این حمله از راه دور انجام‌پذیر نیست. «برای مهاجمی که وارد سامانه شده و جای ثابتی در شبکه پیداکرده است، این آسیب‌پذیری می‌تواند دروازه‌ای برای ورود برای ورود به شبکه‌ی شرکت باشد».

گروه Slipstream/Rol در تاریخ ۴ دسامبر ۲۰۱۵ به نرم‌افزار LSC نفوذ کرد و ازآنجا بود که حفره‌های خطرناک‌تری در این نرم‌افزار کشف شد. در آن زمان این گروه، بدون اینکه از قبل به لنوو هشداری داده باشد، یک آسیب‌پذیری را نشان داد که به صفحه وب مخرب اجازه می‌دهد روی رایانه‌های لنوو با امتیاز ویژه‌ی سامانه کدی را اجرا کند.

این مهاجمان نشان دادند که چگونه می‌توان از SeLSCTaskService برنامه‌ی LSC سوء‌استفاده کرد و از طریق ورودی سامانه یک Daemon HTTP باز کرد که بتواند دستورات را دریافت کند. یکی از این دستورات به نام Run Installer (راه‌اندازِ نصاب)، پرونده‌هایی که در پوشه فروشگاه محلی رایانه‌ی لنوو قرار دارند را اجرا می‌کند.
گروه Slipstream/Rol آسیب‌پذیری دیگری را هم نشان داد که به SeLSCTaskService مربوط است. این حفره، رایانه‌های لنوویی را هدف قرار می‌دهد که دارای برنامه LSC باشند و از آن برای حملات جعل درخواست بینِ وب‌گاهی استفاده می‌شود. در این مورد، مهاجمان می‌توانند کدی را از راه دور روی رایانه‌های شخصی لنوویِ دارای برنامه LSC اجرا کنند و تنها کافی است که کاربر را ترغیب به بازدید از یک وب‌گاه مخرب کنند.
موسسه مهندسی نرم‌افزار دانشگاه کارنگی ملون، طی اطلاعیه‌ای راجع به آسیب‌پذیری‌ها گفت: «اگر کاربری که برنامه LSC را اجرا کرده است، متقاعد شود که از یک سند HTML مثل یک صفحه وب یا یک پیام یا پیوست رایانامه HTML بازدید کند، آنگاه مهاجم می‌تواند هر کد دلخواهی را با امتیاز SYSTEM اجرا کند.

با این حمله‌ی ناگهانی گروه Slipstream/Rol، لنوو نیز سریعاً در آن زمان بیانیه‌ای بانام توصیه امنیتی لنوو منتشر کرد که: «ما یک گزارش فوری در مورد آسیب‌پذیری دریافت کردیم و در اسرع وقت به‌روز‌رسانی و تعمیرات آن را آماده خواهیم کرد». لنوو در تاریخ ۹ دسامبر ۲۰۱۵ نرم‌افزار LSC را از نسخه ۲ به ۳ ارتقاء داد.

این حفره امنیتی در LSC جدیدترین آسیب‌پذیری در فهرست طولانی خطای امنیتی لنوو در یک سال اخیر است. لنوو در فوریه سال ۲۰۱۵ روزهای سخت امنیتی را سپری می‌کرد، در این زمان محققان نرم‌افزاری به نام Superfish در دستگاه‌های لنوو پیدا کردند که تبلیغات مخرب را به وب‌گاه‌ها تزریق می‌کرد و مهاجمان با سوء‌استفاده از آن می‌توانستند کلمات عبور و اطلاعات مرورگر وب را بخوانند.

اوت گذشته به علت بارگیری خودکارِ نرم‌افزار موتور خدمات لنوو که خیلی‌ها آن را یک ابزار بی‌مصرف نامیدند، شرکت لنوو بار دیگر موردانتقاد گرفت. بدتر از آن‌وقتی کاربران برنامه را حذف می‌کردند، سامانه‌ی لنوو به‌گونه‌ای تنظیم‌شده بود که برنامه را بار دیگر و بدون اجازه صاحب رایانه بارگیری و نصب کند.