Lenovo corrige varios fallos en el servicio de actualizaciones de sus PC
Después de los fallos de seguridad admitidos por Dell, ahora es la chinaLenovo la que ha lanzado una nueva actualización (la tercera en menos de seis meses) de una herramienta precargada que permite tener sus PC a la última versión de la BIOS, drivers y otras funciones clave.
Así pues, la pasada semana, la compañía lanzó la versión 5.07.0019 de Lenovo System Update, anteriormente conocida bajo la denominación de ThinkVantage System Update. La nueva versión corrige dos vulnerabilidades descubiertas por investigadores de la empresa de seguridad IOActive y que podían permitir a un atacante acceder a cualquier equipo Lenovo con permiso de administrador, ejecutando así cualquier código malicioso en el dispositivo.
Una de las vulnerabilidades se encuentra en el sistema de la ayuda de la herramienta y permite a usuarios con cuentas de Windows limitadas (es decir, no administradores) iniciar una instancia de Internet Explorer con privilegios de administrador al hacer clic en las direcciones URL de las páginas de ayuda.
Ello es posible porque Lenovo System Update se ejecuta bajo una cuenta de administración temporal que la aplicación crea cuando se instala, por lo que cualquier proceso que se inicie a partir de ella se ejecutará bajo la misma cuenta.
Otra vulnerabilidad ligada a la generación de usuarios y contraseñas
La segunda vulnerabilidad detectada en la aplicación de Lenovo está relacionada con la forma en que se genera el nombre y contraseña de la ya mencionada cuenta de administrador temporal.
El nombre de usuario sigue el patrón tvsu_tmp_xxxxxXXXXX, donde cada x minúscula es una letra minúscula generada aleatoriamente y cada mayúscula X es una letra mayúscula generada aleatoriamente. Sin embargo, la función que se supone debe elegir al azar las letras está ligada a la hora actual, por lo que puede predecirse con facilidad por parte de un hacker. Una vez adivinada la combinación correcta, el hacker puede entrar en el equipo con total impunidad sin ser detectado por el usuario.
Fuente: http://www.ticbeat.com/seguridad/
Fecha de consulta: 26 Noviembre 2015