聯想筆記本電腦的漏洞允許升級到管理員權限

聯想筆記本電腦（包括 ThinkPad 和 Yoga 系列）受到 ImControllerService 服務中權限提升問題的影響，該問題允許攻擊者以管理員權限執行命令。

這些漏洞被跟蹤為 CVE-2021-3922 和 CVE-2021-3969，分別是競爭條件漏洞和使用時間檢查時間 (TOCTOU) 漏洞。

該漏洞會影響所有低于 1.1.20.3 的 Lenovo System Interface Foundation 版本的 ImControllerService 服務（“System Interface Foundation Service”）。

Lenovo System Interface Foundation Service 提供多種功能的接口，包括系統電源管理、系統優化、驅動程序和應用程序更新，因此不建議禁用它。

該漏洞由 NCC Group 的研究人員于 2021 年 10 月 29 日報告給聯想，該供應商于 2021 年 11 月 17 日通過發布安全更新解決了該漏洞。該公司本周公開披露了該漏洞。

“Lenovo Vantage 使用的 Lenovo System Interface Foundation 的 IMController 組件中報告了以下漏洞。” 閱讀公司發布的咨詢。

“CVE-2021-3922：聯想系統接口基金會的軟件組件 IMController 中報告了一個競爭條件漏洞，該漏洞可能允許本地攻擊者連接 IMController 子進程的命名管道并與之交互。

CVE-2021-3969：在聯想系統接口基金會的軟件組件 IMController 中報告了一個使用時間檢查時間 (TOCTOU) 漏洞，該漏洞可能允許本地攻擊者提升權限。”

據 NCC Group 稱，ImController 服務安裝在某些聯想設備上，它以 SYSTEM 用戶身份運行，并定期執行執行系統配置和維護任務的子進程。

攻擊者可以利用這些漏洞將其權限提升到 SYSTEM 并接管易受攻擊的設備。

該漏洞存在于 ImControllerService 處理高特權子進程執行的方式中，這允許具有系統本地訪問權限的非特權攻擊者提升他們的特權。

有缺陷的易受攻擊的組件會定期啟動子進程來執行任務，并且每個子進程都會打開一個命名管道服務器，系統上的任何用戶都可以連接到該服務器。

“父進程盡快建立到子服務器的連接，以便通過命名管道發送 XML 序列化命令。子進程不驗證連接源并解析 XML 序列化命令。父進程可以發送的命令之一指示子進程從文件系統上的任意位置加載“插件”。子進程在將文件加載到其地址空間并讓步執行之前驗證插件 DLL 文件的數字簽名。” 閱讀NCC 集團發布的帖子。 “成功利用兩個漏洞需要孩子加載攻擊者選擇的有效載荷。”

研究人員注意到，子進程不會驗證連接的來源，這意味著在競爭條件被利用后，它將開始使用高性能文件系統同步例程接受來自攻擊者的命令。

NCC Group 研究人員開發了一個概念驗證代碼，在父服務可以連接到命名管道之前，該代碼從未失敗。

第二個問題，時間檢查到使用時間（TOCTOU）漏洞，被利用來阻止加載過程并用惡意 DLL 文件替換經過驗證的插件。DLL 以高權限執行。