WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Máy tính Lenovo, Toshiba, Dell có thể bị tấn công khi truy cập trang web độc hại
Laptop và PC Lenovo có thể bị tấn công khi truy cập một trang web độc hại – máy tính của Dell và Toshiba cũng có lỗ hổng này.
Nếu bạn đang chạy Lenovo Solution Center kết hợp với Lenovo gear, và truy cập vào một trang web độc hại, script trên trang đó có thể chạy với quyền hệ thống trên máy tính, cho phép cài mã độc, theo dõi và gây ra các nguy cơ khác. Bất kỳ chương trình hoặc phần mềm nào đã có trên máy tính của bạn đều có thể khai thác Lenovo Solution Center để giành quyền truy cập quản trị, và do đó kiểm soát hoàn toàn, mà không cần bạn nhấc một ngón tay.
Các lỗ hổng được phát hiện bởi Slipstream. Trung tâm ứng cứu máy tính khẩn cấp Mỹ (US CERT) đã ban hành một cảnh báo về các lỗ hổng trên Lenovo, và Lenovo đã kêu gọi người dùng gỡ bỏ Lenovo Solution Center càng sớm càng tốt.
"Bằng cách thuyết phục người dùng đã khởi chạy Lenovo Solution Center xem một tài liệu HTML được thiết kế đặc biệt (ví dụ, một trang web hay một tin nhắn email HTML hoặc tập tin đính kèm), kẻ tấn công có thể thực thi mã tùy ý với quyền HỆ THỐNG. Ngoài ra, một người dùng cục bộ cũng có thể thực thi mã tùy ý với quyền HỆ THỐNG", US CERT cho biết.
"Trung tâm ứng cứu máy tính khẩn cấp CERT/CC (trực thuộc Học Viện Công Nghệ Phần Mềm SEI) hiện chưa có một giải pháp thực tế cho vấn đề này. Tuy nhiên, hãy xem xét các cách giải quyết như sau: Gỡ bỏ cài đặt Lenovo Solution Center để ngăn chặn khai thác các lỗ hổng này. Đóng bất kỳ trường hợp đang chạy Lenovo Solution Center cũng ngăn chặn việc khai thác".
Dưới đây là cách hoạt động của các lỗ hổng, theo US CERT và Slipstream:
• Lenovo...
Lenovo Solution Center tạo ra một tiến trình có tên LSCTaskService chạy quyền quản trị và khởi động một máy chủ web trên cổng 55555. Tiến trình này sẽ thực thi mã trong một thư mục mà người dùng cục bộ có quyền truy cập khi nhận được truy vấn GET và POST HTTP.
Lenovo Solution Center cũng có thể thực thi với đầy đủ đặc quyền các chương trình được tìm thấy trong một vị trí bất kỳ trên ổ đĩa mà người dùng có thể ghi vào. Đặt một số phần mềm xấu ở đó, và phần mềm sẽ được thực thi với quyền admin.
Lỗ hổng CSRF cổ điển (cross-site request forgery – mượn quyền trái phép) tồn tại trong tiến trình LSCTaskService cho phép bất kỳ trang web đã truy cập chuyển lệnh đến máy chủ web cục bộ để thực thi với đặc quyền đầy đủ.
• Gói tiện ích của Dell, Dell System Detect có thể được thực hiện để giành quyền admin và thực hiện các lệnh tùy ý - bằng cách cho nó một mã thông báo an ninh được tải về từ một số nguồn như dell.com: một mã thông báo cấp cho Dell System Detect quyền cài đặt các hướng dẫn có thể bị lạm dụng để thực hiện các chương trình (chẳng hạn như mã độc) với quyền admin. Điều này có thể bị khai thác bởi phần mềm trên máy tính của bạn để phá hoại hoàn toàn máy tính.
• Công cụ Service Station của Toshiba có thể bị lạm dụng bởi người dùng bình thường và phần mềm không có đặc quyền để đọc phần lớn các registry của hệ điều hành như là một người dùng cấp hệ thống.
Trước đó trong năm nay, Lenovo cũng vướng vào một sai lầm an ninh tương tự như Dell. Hãng vừa tiến hành vá các lỗ hổng trong tiện ích Cập nhật Hệ thống (System Update).
Nếu bạn đang chạy Lenovo Solution Center kết hợp với Lenovo gear, và truy cập vào một trang web độc hại, script trên trang đó có thể chạy với quyền hệ thống trên máy tính, cho phép cài mã độc, theo dõi và gây ra các nguy cơ khác. Bất kỳ chương trình hoặc phần mềm nào đã có trên máy tính của bạn đều có thể khai thác Lenovo Solution Center để giành quyền truy cập quản trị, và do đó kiểm soát hoàn toàn, mà không cần bạn nhấc một ngón tay.
Các lỗ hổng được phát hiện bởi Slipstream. Trung tâm ứng cứu máy tính khẩn cấp Mỹ (US CERT) đã ban hành một cảnh báo về các lỗ hổng trên Lenovo, và Lenovo đã kêu gọi người dùng gỡ bỏ Lenovo Solution Center càng sớm càng tốt.
"Bằng cách thuyết phục người dùng đã khởi chạy Lenovo Solution Center xem một tài liệu HTML được thiết kế đặc biệt (ví dụ, một trang web hay một tin nhắn email HTML hoặc tập tin đính kèm), kẻ tấn công có thể thực thi mã tùy ý với quyền HỆ THỐNG. Ngoài ra, một người dùng cục bộ cũng có thể thực thi mã tùy ý với quyền HỆ THỐNG", US CERT cho biết.
"Trung tâm ứng cứu máy tính khẩn cấp CERT/CC (trực thuộc Học Viện Công Nghệ Phần Mềm SEI) hiện chưa có một giải pháp thực tế cho vấn đề này. Tuy nhiên, hãy xem xét các cách giải quyết như sau: Gỡ bỏ cài đặt Lenovo Solution Center để ngăn chặn khai thác các lỗ hổng này. Đóng bất kỳ trường hợp đang chạy Lenovo Solution Center cũng ngăn chặn việc khai thác".
Dưới đây là cách hoạt động của các lỗ hổng, theo US CERT và Slipstream:
• Lenovo...
Lenovo Solution Center tạo ra một tiến trình có tên LSCTaskService chạy quyền quản trị và khởi động một máy chủ web trên cổng 55555. Tiến trình này sẽ thực thi mã trong một thư mục mà người dùng cục bộ có quyền truy cập khi nhận được truy vấn GET và POST HTTP.
Lenovo Solution Center cũng có thể thực thi với đầy đủ đặc quyền các chương trình được tìm thấy trong một vị trí bất kỳ trên ổ đĩa mà người dùng có thể ghi vào. Đặt một số phần mềm xấu ở đó, và phần mềm sẽ được thực thi với quyền admin.
Lỗ hổng CSRF cổ điển (cross-site request forgery – mượn quyền trái phép) tồn tại trong tiến trình LSCTaskService cho phép bất kỳ trang web đã truy cập chuyển lệnh đến máy chủ web cục bộ để thực thi với đặc quyền đầy đủ.
• Gói tiện ích của Dell, Dell System Detect có thể được thực hiện để giành quyền admin và thực hiện các lệnh tùy ý - bằng cách cho nó một mã thông báo an ninh được tải về từ một số nguồn như dell.com: một mã thông báo cấp cho Dell System Detect quyền cài đặt các hướng dẫn có thể bị lạm dụng để thực hiện các chương trình (chẳng hạn như mã độc) với quyền admin. Điều này có thể bị khai thác bởi phần mềm trên máy tính của bạn để phá hoại hoàn toàn máy tính.
• Công cụ Service Station của Toshiba có thể bị lạm dụng bởi người dùng bình thường và phần mềm không có đặc quyền để đọc phần lớn các registry của hệ điều hành như là một người dùng cấp hệ thống.
Trước đó trong năm nay, Lenovo cũng vướng vào một sai lầm an ninh tương tự như Dell. Hãng vừa tiến hành vá các lỗ hổng trong tiện ích Cập nhật Hệ thống (System Update).
Nguồn: The Register
Chỉnh sửa lần cuối bởi người điều hành: