近日,安全公司IOActive在联想系列计算机上发现安全漏洞,攻击者可将电脑上的合法应用程序替换为恶意的应用程序,并可远程执行恶意指令。
IOActive的安全研究员在 公告中 详细阐述了这三个漏洞,攻击者可绕过联想系统的应用程序完整性检测,从而在联想设备上执行恶意程序。
攻击者可伪造一个证书授权,然后再用它创建一个代码签名证书(code-signing),之后就可对可执行文件进行签名了。究其原因就是System Update不能有效的验证证书授权,所以才会接受并执行用伪造证书签名的可执行文件。
因为要将可执行文件保存在可写目录中,联想需要在验证签名和运行保存的可执行文件中间创建一个竞态条件(race condition)。本地攻击者会在等待System Update验证可执行文件签名的同时提升本地权限,然后在System Update没有运行可执行文件之前迅速的将其替换成恶意版本的可执行文件。
该漏洞是危害度极高的一漏洞,如果被攻击者成功利用,系统中最低权限的用户都可运行任意代码。联想试图通过要求用户使用一些认证方式(如安全标记)来限制访问System Update服务器。然而不幸的是,该标记可被攻击者轻而易举的猜到,而且任意用户都可以产生这一标记。
结果就是无论权限多低的攻击者都可以执行和System Update一样的操作。攻击者会生成一个有效的标记,里面会包含将被执行的命令。SUService.exe将会以SYSTEM 用户的权限执行命令。
受影响的设备有:ThinkPad、ThinkCenter和ThinkStation产品,另外还包括V、B、K、E系列的设备。 目前这三个漏洞均已打上补丁,建议联想用户尽快更新。
* 参考来 zdnet , securityweek ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)