Après l’affaire de l’adware Superfish qui a porté atteinte à l’image de marque du premier fabricant mondial de PC, les utilisateurs d’ordinateurs Lenovo seraient encore exposés à ce qui est décrit comme un « risque de sécurité massif » par des chercheurs en sécurité.En effet, pendant que le fabricant de PC essayait de réparer les dommages causés par le logiciel publicitaire préinstallé sur ses PC grand public, des chercheurs ont découvert dans la même période un certain laisser-aller dans les mesures de sécurité de Lenovo.
Les chercheurs du cabinet de sécurité IOActive, Michael Milvich et Sofiane Talmat ont publié un avis de sécurité dans lequel ils expliquent avoir découvert des vulnérabilités de gravité élevée qui permettent des attaques par escalade de privilèges, via le service de mises à jour « System Update » de Lenovo. Ce service permet aux utilisateurs de télécharger les derniers pilotes et autres logiciels Lenovo, y compris les correctifs de sécurité, à partir du site Web du constructeur de PC.
Les vulnérabilités ont été découvertes en février dernier, alors que Lenovo tentait encore d’arrêter les flammes de l’affaire Superfish. Les chercheurs ont donc communiqué en privé les vulnérabilités au fabricant pour lui laisser le temps de déployer des correctifs de sécurité.
L’une des vulnérabilités pourrait permettre à des pirates de contourner les contrôles de validation et remplacer les programmes Lenovo légitimes par des logiciels malveillants. « System Update télécharge des exécutables à partir d'Internet et les exécute. Par mesure de sécurité Lenovo signe ses exécutables et vérifie la signature avant de les exécuter, mais malheureusement ne vérifie pas complètement. En conséquence, un attaquant peut créer un faux certificat qui peut ensuite être utilisé pour signer les exécutables », expliquent les chercheurs. « Les attaquants distants qui peuvent effectuer une attaque man-in-the-middle peuvent exploiter ceci pour échanger les exécutables de Lenovo avec un exécutable malveillant », ont-ils ajouté.
Une faille dans le système de sécurité des PC Lenovo pourrait permettre également à un utilisateur moins privilégié d’obtenir des accès de haut niveau et exécuter ses propres commandes et des logiciels malveillants. Les chercheurs décrivent dans leur rapport une autre vulnérabilité dans le système, qui permet encore à un utilisateur non privilégié d’exécuter des commandes en tant qu’administrateur.
Les vulnérabilités affectent Lenovo System Update 5.6.0.27 ainsi que les versions antérieures ; et le fabricant chinois a publié un patch le mois dernier pour corriger les failles de sécurité. Les possesseurs de PC Lenovo devront donc télécharger la mise à jour de sécurité pour ne pas courir le risque de compromettre leurs machines.
Sources : SC Magazine, avis de sécurité IOActive (pdf)
Téléchargez la mise à jour de sécuritéEt vous ?
Êtes-vous un utilisateur de PC Lenovo ? Qu’en pensez-vous ? 
Envoyé par sazearte
