Баги в ноутбуках Lenovo позволяют получить привилегии администратора
Ноутбуки Lenovo, включая модели серий ThinkPad и Yoga, уязвимы для проблем в службе ImControllerService, связанных с повышением привилегий. Проблемы позволяют злоумышленникам выполнять команды с правами администратора, пишет Хакер.
Уязвимости имеют идентификаторы CVE-2021-3922 и CVE-2021-3969 и влияют на компонент ImControllerService во всех версиях Lenovo System Interface Foundation ниже 1.1.20.3. В Windows эта служба отображается как System Interface Foundation Service.
Проблемы были обнаружены экспертами NCC Group, которые уведомили Lenovo о своих выводах еще в конце октября. Производитель выпустил патчи 17 ноября 2021 года, а соответствующие рекомендации для пользователей были обнародованы 14 декабря 2021 года.
Как было отмечено выше, проблемный сервис является компонентом Lenovo System Interface Foundation, и помогает устройствам Lenovo взаимодействовать с универсальными приложениями, такими как Lenovo Companion, Lenovo Settings и Lenovo ID. Служба по умолчанию предустановлена на многих моделях компании, включая устройства Yoga и ThinkPad.
Поскольку ImController должен получать и устанавливать файлы с серверов Lenovo, выполнять дочерние процессы и задачи по настройке и обслуживанию системы, он работает с правами SYSTEM. Корень проблемы заключается в том, что при этом служба не обеспечивает безопасной связи между привилегированными дочерними процессами и не может произвести валидацию источника сериализованных команд XML. По сути, это означает, что любой другой процесс, даже вредоносный, может подключиться к дочернему процессу для выполнения собственных команд.«Lenovo System Interface Foundation Service предоставляет интерфейсы для ключевых функций, включая управление питанием системы, оптимизацией системы, обновления драйверов и приложений, а также системные настройки для приложений Lenovo, включая Lenovo Companion, Lenovo Settings и Lenovo ID. Если вы отключите эту службу, приложения Lenovo не будут работать должным образом», — гласит официальное описание.
«Первая уязвимость — это состояние гонки между злоумышленником и родительским процессом, подключающимся к именованному каналу дочернего процесса, — поясняют эксперты NCC Group. — Злоумышленник, использующий процедуры синхронизации файловой системы, может гарантировано выиграть гонку за подключение к именованному каналу у родительского процесса».
Второй баг представляет собой уязвимость time-of-check к time-of-use (TOCTOU), которая позволяет злоумышленнику остановить процесс загрузки проверенного плагина ImControllerService и подменить его библиотекой DLL по своему выбору, что приводит к повышению привилегий.
Всем пользователям ноутбуков и десктопных решений Lenovo, на которых установлен ImController версии 1.1.20.2 и ниже, рекомендуется как можно быстрее обновиться до наиболее актуальной версии (1.1.20.3).
похожие материалы
Исследователи назвали ключевые тенденции кибератак и угроз на 2026 год
Аналитики компании Positive Technologies представили обзор основных тенденций в области киберугроз, которые, по их оценке, будут формировать ландшафт атак в 2026 году.
Новая волна автоматизированных атак взламывает конфигурации FortiGate через SSO-входы
Специалисты по кибербезопасности зафиксировали активную кампанию злоумышленников, нацеленную на устройства Fortinet FortiGate - популярные корпоративные фаерволы.
Банки смогут блокировать операции с устройств, на которых раньше фиксировались мошеннические действия
Российские банки получили право блокировать финансовые операции, если они выполняются с мобильных устройств, которые ранее использовались для мошенничества или других подозрительных транзакций.
Новый вредонос для macOS совмещает кражу данных и атаки на криптокошельки
Специалисты по кибербезопасности выявили новую вредоносную кампанию, нацеленную на пользователей macOS, в рамках которой злоумышленники одновременно похищают пользовательские данные и атакуют приложения для работы с аппаратными криптокошельками.
40% российских компании автоматизируют бизнес-процессы с помощью ИИ
По данным исследования СберАналитики и Сбер Бизнес Софт в области автоматизации бизнес-процессов в российских компаниях итогам 2025 года, чаще всего в компаниях автоматизируют документооборот и обработку заявок (70%), бухгалтерию и финансовый учёт (55%), HR-процессы (34%), стратегическое планирование (34%) и поддержку клиентов (30%).
Каждую шестую уязвимость в приложениях знакомств назвали критической
Аналитики по кибербезопасности выявили серьёзную проблему с безопасностью популярных приложений для знакомств - примерно 17 % обнаруженных уязвимостей признаны критическими, что может привести к утечкам личных данных и компрометации аккаунтов пользователей.
Ограничения VPN в России выросли на фоне растущего спроса на обход блокировок
В России количество VPN-сервисов, заблокированных регуляторами, продолжает расти: к середине января 2026 года доступ к 439 сервисам обхода блокировок оказался ограничен, что на 70% больше, чем три месяца назад.
«Код Безопасности» и Компания «Актив» провели успешные тесты на совместимость ПАК «Соболь» c устройствами Рутокен
Компания «Актив», российский производитель и разработчик программно-аппаратных средств защиты информации, и российский разработчик средств защиты информации «Код Безопасности» подтвердили совместимость своих решений: USB-токенов и смарт-карт Рутокен ЭЦП 3.
Около 50 000 сайтов WordPress оказались под угрозой полного захвата из-за критической уязвимости плагина
Около 50 000 сайтов на базе WordPress остаются уязвимыми к полному захвату из-за критической ошибки в популярном плагине Advanced Custom Fields: Extended (ACF Extended).
На конкурсе Pwn2Own Automotive нашли десятки уязвимостей в системах Tesla
В Токио на первом дне конкурса по автомобильной безопасности Pwn2Own Automotive 2026 команда исследователей успешно продемонстрировала эксплуатацию 37 ранее неизвестных уязвимостей в различных автомобильных компонентах, включая систему развлекательной электроники Tesla.