idNSA.id - Layanan ImControllerService laptop Lenovo dipengaruhi oleh bug elevasi hak istimewa yang memungkinkan untuk menjalankan perintah dengan hak istimewa admin.
Laptop Lenovo, termasuk keluarga ThinkPad dan Yoga, terpengaruh oleh masalah elevasi hak istimewa yang berada di layanan ImControllerService yang memungkinkan penyerang menjalankan perintah dengan hak istimewa admin.
Kerentanan, dilacak sebagai CVE-2021-3922 dan CVE-2021-3969, adalah race condition vulnerability dan a Time of Check Time of Use (TOCTOU) vulnerability. Cacat tersebut memengaruhi layanan ImControllerService ("Layanan System Interface Foundation") dari semua versi Lenovo System Interface Foundation di bawah 1.1.20.3.
The Lenovo System Interface Foundation Service menyediakan interface untuk beberapa fitur, termasuk manajemen daya sistem, pengoptimalan sistem, pembaruan driver dan aplikasi, untuk alasan ini tidak disarankan untuk menonaktifkannya.
Kerentanan tersebut dilaporkan ke Lenovo oleh para peneliti di NCC Group pada 29 Oktober 2021, dan vendor mengatasinya dengan merilis pembaruan keamanan pada 17 November 2021. Minggu ini perusahaan mengungkapkan kerentanan tersebut secara publik.“ Kerentanan berikut dilaporkan dalam komponen IMController dari Lenovo System Interface Foundation yang digunakan oleh Lenovo Vantage.” membaca nasihat yang diterbitkan oleh perusahaan.
“CVE-2021-3922: Race Condition Vulnerability dilaporkan di IMController, komponen perangkat lunak dari Lenovo System Interface Foundation, yang dapat memungkinkan penyerang lokal untuk terhubung dan berinteraksi dengan pipe bernama proses anak IMController.
CVE-2021-3969: Kerentanan Time of Check Time of Use (TOCTOU) dilaporkan di IMController, komponen perangkat lunak Lenovo System Interface Foundation, yang memungkinkan penyerang lokal meningkatkan hak istimewa.”
Menurut NCC Group, layanan ImController diinstal pada perangkat Lenovo tertentu, berjalan sebagai pengguna SISTEM dan secara berkala menjalankan proses child yang melakukan konfigurasi sistem dan tugas pemeliharaan.
Penyerang dapat mengeksploitasi kerentanan untuk meningkatkan hak istimewanya ke SISTEM dan mengambil alih perangkat yang rentan.
Kerentanan terletak pada cara ImControllerService menangani eksekusi child process yang sangat istimewa yang memungkinkan penyerang yang tidak memiliki hak dengan akses lokal ke sistem untuk meningkatkan hak istimewa mereka.
Komponen rentan yang cacat secara berkala memulai child process untuk melakukan tugas dan masing-masing dari mereka membuka server named pipe yang dapat dihubungkan oleh pengguna mana pun di sistem.
“Parent process membuat koneksi ke child server sesegera mungkin untuk mengirim perintah serial XML melalui named pipe. Anak tidak memvalidasi sumber koneksi dan mem-parsing perintah serial XML. Salah satu perintah yang dapat dikirim oleh parent proses menginstruksikan child untuk memuat 'plugin' dari lokasi arbitrer pada sistem file. Child process memvalidasi tanda tangan digital dari file DLL plugin sebelum memuat file ke ruang alamatnya dan menghasilkan eksekusi untuk itu. membaca posting yang diterbitkan oleh NCC Group. “Eksploitasi dua kerentanan yang berhasil diperlukan untuk membuat child memuat muatan yang dipilih penyerang.”
Para peneliti memperhatikan bahwa child process tidak memvalidasi sumber koneksi, ini berarti akan mulai menerima perintah dari penyerang menggunakan rutinitas sinkronisasi sistem file kinerja tinggi setelah kondisi balapan dieksploitasi.
Peneliti NCC Group mengembangkan bukti kode konsep yang tidak pernah gagal terhubung ke named pipe sebelum parent service dapat melakukannya.
Masalah kedua, kerentanan Time-of-Check to Time-of-Use (TOCTOU), dieksploitasi untuk menghentikan proses pemuatan dan mengganti plugin yang divalidasi dengan file DLL berbahaya. DLL dijalankan dengan hak istimewa tinggi.
