Les PC Lenovo à nouveau exposés à des risques de sécurité élevés
Le fabricant publie des mises à jour pour corriger les vulnérabilités
Le 2015-05-06 13:30:44, par Michael Guilloux, Chroniqueur Actualités
Après l’affaire de l’adware Superfish qui a porté atteinte à l’image de marque du premier fabricant mondial de PC, les utilisateurs d’ordinateurs Lenovo seraient encore exposés à ce qui est décrit comme un « risque de sécurité massif » par des chercheurs en sécurité.
En effet, pendant que le fabricant de PC essayait de réparer les dommages causés par le logiciel publicitaire préinstallé sur ses PC grand public, des chercheurs ont découvert dans la même période un certain laisser-aller dans les mesures de sécurité de Lenovo.
Les chercheurs du cabinet de sécurité IOActive, Michael Milvich et Sofiane Talmat ont publié un avis de sécurité dans lequel ils expliquent avoir découvert des vulnérabilités de gravité élevée qui permettent des attaques par escalade de privilèges, via le service de mises à jour « System Update » de Lenovo. Ce service permet aux utilisateurs de télécharger les derniers pilotes et autres logiciels Lenovo, y compris les correctifs de sécurité, à partir du site Web du constructeur de PC.
Les vulnérabilités ont été découvertes en février dernier, alors que Lenovo tentait encore d’arrêter les flammes de l’affaire Superfish. Les chercheurs ont donc communiqué en privé les vulnérabilités au fabricant pour lui laisser le temps de déployer des correctifs de sécurité.
L’une des vulnérabilités pourrait permettre à des pirates de contourner les contrôles de validation et remplacer les programmes Lenovo légitimes par des logiciels malveillants. « System Update télécharge des exécutables à partir d'Internet et les exécute. Par mesure de sécurité Lenovo signe ses exécutables et vérifie la signature avant de les exécuter, mais malheureusement ne vérifie pas complètement. En conséquence, un attaquant peut créer un faux certificat qui peut ensuite être utilisé pour signer les exécutables », expliquent les chercheurs. « Les attaquants distants qui peuvent effectuer une attaque man-in-the-middle peuvent exploiter ceci pour échanger les exécutables de Lenovo avec un exécutable malveillant », ont-ils ajouté.
Une faille dans le système de sécurité des PC Lenovo pourrait permettre également à un utilisateur moins privilégié d’obtenir des accès de haut niveau et exécuter ses propres commandes et des logiciels malveillants. Les chercheurs décrivent dans leur rapport une autre vulnérabilité dans le système, qui permet encore à un utilisateur non privilégié d’exécuter des commandes en tant qu’administrateur.
Les vulnérabilités affectent Lenovo System Update 5.6.0.27 ainsi que les versions antérieures ; et le fabricant chinois a publié un patch le mois dernier pour corriger les failles de sécurité. Les possesseurs de PC Lenovo devront donc télécharger la mise à jour de sécurité pour ne pas courir le risque de compromettre leurs machines.
Sources : SC Magazine, avis de sécurité IOActive (pdf)
Et vous ?
En effet, pendant que le fabricant de PC essayait de réparer les dommages causés par le logiciel publicitaire préinstallé sur ses PC grand public, des chercheurs ont découvert dans la même période un certain laisser-aller dans les mesures de sécurité de Lenovo.
Les chercheurs du cabinet de sécurité IOActive, Michael Milvich et Sofiane Talmat ont publié un avis de sécurité dans lequel ils expliquent avoir découvert des vulnérabilités de gravité élevée qui permettent des attaques par escalade de privilèges, via le service de mises à jour « System Update » de Lenovo. Ce service permet aux utilisateurs de télécharger les derniers pilotes et autres logiciels Lenovo, y compris les correctifs de sécurité, à partir du site Web du constructeur de PC.
Les vulnérabilités ont été découvertes en février dernier, alors que Lenovo tentait encore d’arrêter les flammes de l’affaire Superfish. Les chercheurs ont donc communiqué en privé les vulnérabilités au fabricant pour lui laisser le temps de déployer des correctifs de sécurité.
L’une des vulnérabilités pourrait permettre à des pirates de contourner les contrôles de validation et remplacer les programmes Lenovo légitimes par des logiciels malveillants. « System Update télécharge des exécutables à partir d'Internet et les exécute. Par mesure de sécurité Lenovo signe ses exécutables et vérifie la signature avant de les exécuter, mais malheureusement ne vérifie pas complètement. En conséquence, un attaquant peut créer un faux certificat qui peut ensuite être utilisé pour signer les exécutables », expliquent les chercheurs. « Les attaquants distants qui peuvent effectuer une attaque man-in-the-middle peuvent exploiter ceci pour échanger les exécutables de Lenovo avec un exécutable malveillant », ont-ils ajouté.
Une faille dans le système de sécurité des PC Lenovo pourrait permettre également à un utilisateur moins privilégié d’obtenir des accès de haut niveau et exécuter ses propres commandes et des logiciels malveillants. Les chercheurs décrivent dans leur rapport une autre vulnérabilité dans le système, qui permet encore à un utilisateur non privilégié d’exécuter des commandes en tant qu’administrateur.
Les vulnérabilités affectent Lenovo System Update 5.6.0.27 ainsi que les versions antérieures ; et le fabricant chinois a publié un patch le mois dernier pour corriger les failles de sécurité. Les possesseurs de PC Lenovo devront donc télécharger la mise à jour de sécurité pour ne pas courir le risque de compromettre leurs machines.
Sources : SC Magazine, avis de sécurité IOActive (pdf)
Et vous ?
-
RyzenOCInactifMais pourquoi diable les fabriquants de pc font des logiciels (tous plus merdique qu'inutile) ?
Moi mon portable (un Asus) des que je l'ai eu, j'ai formater le disque, rajouter un ssd et fait un install propre sans merde (asus update, asus cloud...), j'ai installer le pilote intel+carte graphique et sa marche très bien comme ca.
Sa fait 2ans que mon pc tourne et aucun problème.
Windows Update normalement mets a jour les pilotes, même si je dois l'admettre, les versions proposé ont parfois une version de retard.
Pour la carte graphique je recommande d'aller directement sur le site de amd ou nvidiale 06/05/2015 à 18:26 -
RyzenOCInactifTu peut télécharger les iso de windows légalement sur le site de MS. Depuis windows8, la licence et intégrer dans le bios/efi, donc y' a même plus besoin de license (on pensera ce que l'on voudra de ce système, mais c'est pas le sujets)C'est bien ça le problème aujourd'hui: la plupart des constructeurs ne fournissent plus les DVD permettant de faire une installation propre sans les applications pré-installés négociés avec certains éditeurs...le 07/05/2015 à 7:39
-
AlvatenMembre éprouvéNon, j'ai hésité il a quelques années mais avec ceux deux affaires ça ne risque plus d'arriver.Êtes-vous un utilisateur de PC Lenovo ?le 06/05/2015 à 16:38
-
imikadoRédacteurComment ?
Vous avez achetez une nouvelle licence windows OEM ? vous avez pu récupérer le DVD du windows installé ?
C'est bien ça le problème aujourd'hui: la plupart des constructeurs ne fournissent plus les DVD permettant de faire une installation propre sans les applications pré-installés négociés avec certains éditeurs...
Pour rappel la dernier procès sur le sujet gagné (2008) avait permis de récupérer 130 euros
Donc ce serait bien que cette affaire puisse remettre au gout du jour le respect de la loi permettant de refuser cette offre pré-installé et récupérer le montant pour acheter une version OEM permettant une installation "propre" de son matériel achetéLe pack logiciel : entre 10 et 25% du prix total
Pour les montants, le juge exposera qu’il est « admis que les logiciels représentent entre 10 et 25% du prix informatique » avant de fixer à 100 € le remboursement de XP et 30 € le train des autres logiciels préinstallés.le 06/05/2015 à 23:07 -
imikadoRédacteurPouvez vous donner ce précieux lien ?le 07/05/2015 à 18:58