Wer noch das Lenovo Solution Center auf seinem System hat, sollte es schnellstmöglich deinstallieren.

Anfang 2015 war der chinesische Gerätehersteller Lenovo dabei ertappt worden, die Spyware Superfish vorinstalliert auf einigen seiner Laptops ausgeliefert zu haben. Das führte zu einer Millionenstrafe und strengen Auflagen durch die US-Finanzaufsichtsbehörde FTC, welche die Sicherheit von vorinstallierten Lenovo-Programmen seitdem aufmerksam beobachtet.

Nach dieser Spyware-Affäre könnte Lenovo nun neuen Ärger bekommen, denn eine Sicherheitsfirma hat Schwachstellen in der vorinstallierten Systemsoftware Lenovo Solution Center (LSC) gefunden, welche der Hersteller offenbar versuchte, herunterzuspielen. Lenovo ging dabei so weit, den Supportzeitraum der Software zurückzudatieren – vor das Datum, an dem die aktuelle Version der Software veröffentlicht wurde.

Laut der britischen Sicherheitsfirma Pen Test Partners enthält das Lenovo Solution Center eine Schwachstelle (CVE-2019-6177), über die sich ein Angreifer mit normalen Nutzer-Rechten mittels eines Tricks Admin-Rechte auf dem betroffenen System verschaffen kann. Zehn Minuten nach dem ersten Log-In nach Systemstart führt das LSC einen Prozess aus, der die Zugangskontroll-Liste (Access Control List, ACL) des Ordners überschreibt, in dem Lenovo seine Log-Dateien sammelt.

Hierdurch kann jeder auf dem System angemeldete Nutzer diese Logs manipulieren. Viel gravierender ist allerdings, dass sich dieses Verhalten auch dazu missbrauchen lässt, eine beliebige ausführbare Datei auf dem System vom LSC-Prozess auszuführen – mit Admin-Rechten. Dazu muss ein normaler Nutzer nur einen Hardlink auf das gewünschte Binary in dem Log-Verzeichnis ablegen.

Mit anderen Worten: Jeder auf dem System angemeldete Nutzer kann die vorinstallierte Lenovo-Software missbrauchen, um sich zum Admin zu machen. In der englischsprachigen Security-Szene nennt man solche Software auch gerne Crapware (Mist-Software).

Die Lücke an sich ist zwar unangenehm, aber eigentlich nicht so brisant, dass sie ohne weitere Anhaltspunkte in den Schlagzeilen gelandet wäre. Schließlich muss an Angreifer bereits auf dem System angemeldet sein (etwa durch bereits ausgeführte Malware oder gehackte Login-Daten), um die Lücke auszunutzen. Und dann wird die Software von Lenovo auch schon eine ganze Weile nicht mehr auf Laptops installiert, da sie durch Produkte namens Lenovo Vantage und Lenovo Diagnostics ersetzt wurde.

Betroffene Nutzer sollten also Lenovo Solution Center so schnell wie möglich deinstallieren. Wer nicht ohne die Funktionen des Programms auskommt, sollte auf Lenovo Vantage und Lenovo Diagnostics umsteigen.

Obwohl das Lenovo Solution Center schon länger nicht mehr auf neuen Geräten vorinstalliert wird, finden sich vor allem in großen Organisationen erfahrungsgemäß genug alte Systeme, dass eine Lücke dieser Art eine signifikante Schwachstelle darstellt, falls Angreifer es bis ins interne Netz schaffen. Deshalb sollten vor allem Firmen-Admins wachsam sein, und ihren Bestand an Lenovo-Systemen auf die verwundbare Software hin überprüfen.