Se han reportado dos vulnerabilidades en ordenadores
Lenovo (incluyendo portátiles, servidores y equipos de sobremesa). Las
vulnerabilidades son consideradas de gravedad alta y podrían permitir a un
atacante local ejecutar código arbitrario y elevar privilegios dentro del
sistema. Una vez más los problemas residen en el software propietario
preinstalado por Lenovo.
Las vulnerabilidades han sido reportadas a través de auditorías internas de la propia compañía y por Alexander Ermolov de Digital Security ltd.
Detalle
e Impacto de la primera vulnerabilidad
- En el primer problema, con CVE-2016-8223, en el que
un atacante local con privilegios limitados podría aprovecharse de un
error en Lenovo System Interface Foundation
(Lenovo.Modern.ImController.exe o
Lenovo.Modern.ImController.PluginHost.exe que funciona como servicio en el
administrador de tareas de Windows 10) para ejecutar código arbitrario
dentro del sistema con privilegios de administrador. Lenovo Sistem
Interface Foundation proporciona servicios, drivers y aplicaciones de
ayuda a otros softwares propios de Lenovo y otros servicios dentro de
Windows 10.
Recursos afectados
- Afecta a todos
los Thinkpad, Thinkcentre, ThinkStation y sistemas Lenovo preinstalados
con Windows 10 u cualquier otro sistema que ejecute Lenovo Companion,
Lenovo Settins o Lenovo ID.
Recomendación
- Se recomienda
actualizar a la última versión de Lenovo System Interface Foundation http://support.lenovo.com/downloads/ds105970
.
Detalle
e Impacto de la primera vulnerabilidad
- El segundo problema, con CVE-2016-8224, podría
permitir a un atacante con privilegios administrativos en el sistema
causar una denegación de servicio y/o elevar privilegios dentro del
sistema a través de una aplicación especialmente manipulada que eluda
restricciones de las protecciones del Intel Management Engine.
- Intel Management Engine (ME) es un conjunto de
características hardware desarrolladas por Intel para administrar, reparar
y proteger ordenadores dentro de sus propias redes.
Recursos afectados
Lenovo
Notebook modelos:
- 110-14IBR/110-15IBR
- B70-80
- E31-80
- E40-80
- E41-80
- E51-80
- G40-80
- G50-80
- G50-80 Touch
- Ideapad
300-14IBR/300-15IBR
- Ideapad
300-14ISK/300-15ISK/300-17ISK
- Ideapad
510S-12ISK
- K21-80
- K41-80
- MIIX 710-12IKB
- XiaoXin Air 12
- YOGA
510-14ISK/510-15ISK
- YOGA 710-11IKB
- Yoga 710-11ISK
- Yoga 900-13ISK
- YOGA 900S-12ISK
- ThinkServer
TS150
- ThinkServer
TS250
- ThinkServer TS450
- ThinkServer TS550
Recomendación
- Lenovo ha publicado actualizaciones para los
sistemas afectados, se recomienda consultar la página desde https://support.lenovo.com/es/es/solutions/LEN_9903 para determinar por la versión de la
BIOS si el sistema está afectado y la actualización requerida.
Más
información:
- Intel Management
Engine protection not set on some Lenovo Notebook and ThinkServer systems https://support.lenovo.com/es/es/solutions/LEN_9903
- Lenovo System
Interface Foundation Privilege Escalation https://support.lenovo.com/es/es/solutions/LEN_10150