聯想電腦管理軟體爆權限擴張漏洞，影響ThinkPad、Yoga系列

聯想（Lenovo）近日公告筆電內建的電腦管理軟體2項安全漏洞，可使攻擊者取得權限控制用戶電腦，從ThinkPad到Yoga系列都受影響。

2項漏洞是出現在聯想筆電管理軟體Lenovo Vantage中、系統服務Lenovo System Interface Foundation的IMController元件。Lenovo System Interface Foundation是整合驅動程式更新、系統服務及擴充服務的套件，IMController服務可讓聯想裝置和其通用軟體，例如Lenovo Settings、Lenovo ID或Lenovo Companion互動。聯想旗下筆電如ThinkPad或Yoga等產品都內建這些元件。

兩項漏洞分別為CVE-2021-3922及CVE-2021-3969，是由NCC Group於11月間發現並通報聯想。CVE-2021-3922為一條件競爭（race condition）漏洞，可讓本機攻擊者連結IMController的子行程的命名管理，並下載檔案到檔案系統。CVE-2021-3969則為TOCTOU（Time of Check Time of Use）漏洞，允許本機攻擊者升高權限。NCC Group指出，IMController是以系統權限執行，會定期執行子行程設定系統組態及系統維護工作。這2項漏洞發生在IMController處理高權限子行程未適當驗證，使僅具一般權限的攻擊者擴充權限到系統管理員身分，最後在檔案系統中寫入惡意檔案並執行。可升級到系統權限的威脅，往往能讓攻擊者接管整臺系統。

這兩項漏洞影響IMController 1.1.20.3以前的版本。聯想已經於11月釋出新版本，IMController 會自動由Lenovo System Interface Foundation升級到1.1.20.3版。

電腦預載官方軟體經常成為安全破口。2019年聯想筆電內建軟體Lenovo Solution Centre（LSC）中一個第三方軟體爆發漏洞，可使駭客取得管理員權限執行程式，甚至接管裝置。今年6月Dell裝置也傳出內建管理軟體SupportAssist的BIOSConnect元件含有4個安全漏洞，使駭客可自遠端執行任意程式。