Lenovo ha publicado una nueva versión de su
herramienta de soporte "Lenovo Solution Center", preinstalada y
activa en millones de portátiles, equipos de escritorio y tabletas Lenovo. Una
vulnerabilidad en este software podría permitir a un atacante local elevar sus
privilegios en el sistema.
No es la primera vez que ocurre, bien por descuido
o de forma intencionada, un fabricante incluye algún tipo de malware, adware o
spyware en sus productos, software o controladores. La misma Lenovo ya se vio
afectada por lo que se conoció como "caso Superfish". La inclusión de
un adware que no solo se conformaba con insertar publicidad sino que además
dejaba los portátiles expuestos a ataques "hombre en el medio" al
incluir un certificado raíz autofirmado. Posteriormente Dell también sufrió un
problema similar.
En esta ocasión, el problema reside en el software
"Lenovo Solution Center" (LSC), una aplicación creada por Lenovo que
permite a los usuarios realizar funciones de diagnóstico e identificar
rápidamente el estado del hardware y software del PC, las conexiones de red y
la presencia de elementos de seguridad como firewalls o antivirus.
Este software se compone de una interfaz gráfica de
usuario y el proceso "LSCTaskService" que corre como servicio en el
sistema del usuario, incluso si la interfaz de usuario está cerrada.
Se ha identificado una nueva vulnerabilidad de
elevación de privilegios (con CVE-2016-1876) en este software. Esto es un
usuario local sin privilegios podría ejecutar código arbitrario con privilegios
del sistema.
Una vez más, se confirma el peligro del software
preinstalado, mucho más cuando a veces hasta el propio usuario desconoce lo que
el fabricante ha incluido en el equipo.
Lenovo ha publicado la versión 3.3.002 de Lenovo
Solution Center para corregir esta vulnerabilidad. Basta con abrir la
aplicación y se presentará la opción de actualización automática.
