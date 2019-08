Anfang 2015 war der chinesische Gerätehersteller Lenovo dabei ertappt worden, die Spyware Superfish vorinstalliert auf einigen seiner Laptops ausgeliefert zu haben. Das führte zu einer Millionenstrafe und strengen Auflagen durch die US-Finanzaufsichtsbehörde FTC, welche die Sicherheit von vorinstallierten Lenovo-Programmen seitdem aufmerksam beobachtet.

Nach dieser Spyware-Affäre könnte Lenovo nun neuen Ärger bekommen, denn eine Sicherheitsfirma hat Schwachstellen in der vorinstallierten Systemsoftware Lenovo Solution Center (LSC) gefunden, welche der Hersteller offenbar versuchte, herunterzuspielen. Lenovo ging dabei so weit, den Supportzeitraum der Software zurückzudatieren – vor das Datum, an dem die aktuelle Version der Software veröffentlicht wurde.

Nachrüstung

Laut der britischen Sicherheitsfirma Pen Test Partners enthält das Lenovo Solution Center eine Schwachstelle (CVE-2019-6177), über die sich ein Angreifer mit normalen Nutzer-Rechten mittels eines Tricks Admin-Rechte auf dem betroffenen System verschaffen kann. Zehn Minuten nach dem ersten Log-In nach Systemstart führt das LSC einen Prozess aus, der die Zugangskontroll-Liste (Access Control List, ACL) des Ordners überschreibt, in dem Lenovo seine Log-Dateien sammelt.

Hierdurch kann jeder auf dem System angemeldete Nutzer diese Logs manipulieren. Viel gravierender ist allerdings, dass sich dieses Verhalten auch dazu missbrauchen lässt, eine beliebige ausführbare Datei auf dem System vom LSC-Prozess auszuführen – mit Admin-Rechten. Dazu muss ein normaler Nutzer nur einen Hardlink auf das gewünschte Binary in dem Log-Verzeichnis ablegen.

Mit anderen Worten: Jeder auf dem System angemeldete Nutzer kann die vorinstallierte Lenovo-Software missbrauchen, um sich zum Admin zu machen. In der englischsprachigen Security-Szene nennt man solche Software auch gerne Crapware (Mist-Software).

Lenovo erklärt Software kurzerhand als End-of-Life

Die Lücke an sich ist zwar unangenehm, aber eigentlich nicht so brisant, dass sie ohne weitere Anhaltspunkte in den Schlagzeilen gelandet wäre. Schließlich muss an Angreifer bereits auf dem System angemeldet sein (etwa durch bereits ausgeführte Malware oder gehackte Login-Daten), um die Lücke auszunutzen. Und dann wird die Software von Lenovo auch schon eine ganze Weile nicht mehr auf Laptops installiert, da sie durch Produkte namens Lenovo Vantage und Lenovo Diagnostics ersetzt wurde.

Allerdings reagierte Lenovo auf die vertrauliche Meldung der Sicherheitslücke durch Pen Test Partners sehr fragwürdig: Man versuchte das Problem herunterzuspielen und behauptete, die Software wäre bereits seit April 2018 nicht mehr unterstützt. Komisch nur, dass das letzte offizielle LSC-Release aus dem Oktober 2018 stammt. Wie sich herausstellte, hatte Lenovo das End-of-Life (EOL) des Lenovo Solution Center von Ende November 2018 auf April zurückdatiert, nachdem die Firma von der Sicherheitslücke erfahren hatte.

Von der britischen Nachrichtenseite The Register zu diesen Vorgängen befragt, gab Lenovo zu Protokoll, dass es sich bei der Rückdatierung einen völlig normalen Prozess in der Software-Industrie handele: "Es passiert öfter, dass wir Programme, die das Ende ihrer Herstellerunterstützung erreichen, noch mal aktualisieren, um Kunden zu helfen, die zu neueren Produkten umsteigen; oder um diesen Kunden weiterhin einen minimalen Level an Support bereitzustellen. Das ist in unserer Branche nicht unüblich." Allerdings scheint es nicht so, als ob dieser "minimalen Level an Support" einen Fix für die offengelegten Schwachstellen enthält.

Admins, seid wachsam!

Betroffene Nutzer sollten also Lenovo Solution Center so schnell wie möglich deinstallieren. Wer nicht ohne die Funktionen des Programms auskommt, sollte auf Lenovo Vantage und Lenovo Diagnostics umsteigen.

Obwohl das Lenovo Solution Center schon länger nicht mehr auf neuen Geräten vorinstalliert wird, finden sich vor allem in großen Organisationen erfahrungsgemäß genug alte Systeme, dass eine Lücke dieser Art eine signifikante Schwachstelle darstellt, falls Angreifer es bis ins interne Netz schaffen. Deshalb sollten vor allem Firmen-Admins wachsam sein, und ihren Bestand an Lenovo-Systemen auf die verwundbare Software hin überprüfen. (Fabian A. Scherschel) / (fab)