联想笔记本电脑的漏洞允许升级到管理员权限

联想笔记本电脑（包括 ThinkPad 和 Yoga 系列）受到 ImControllerService 服务中权限提升问题的影响，该问题允许攻击者以管理员权限执行命令。

这些漏洞被跟踪为 CVE-2021-3922 和 CVE-2021-3969，分别是竞争条件漏洞和使用时间检查时间 (TOCTOU) 漏洞。

该漏洞会影响所有低于 1.1.20.3 的 Lenovo System Interface Foundation 版本的 ImControllerService 服务（“System Interface Foundation Service”）。

Lenovo System Interface Foundation Service 提供多种功能的接口，包括系统电源管理、系统优化、驱动程序和应用程序更新，因此不建议禁用它。

该漏洞由 NCC Group 的研究人员于 2021 年 10 月 29 日报告给联想，该供应商于 2021 年 11 月 17 日通过发布安全更新解决了该漏洞。该公司本周公开披露了该漏洞。

“Lenovo Vantage 使用的 Lenovo System Interface Foundation 的 IMController 组件中报告了以下漏洞。” 阅读公司发布的咨询。

“CVE-2021-3922：联想系统接口基金会的软件组件 IMController 中报告了一个竞争条件漏洞，该漏洞可能允许本地攻击者连接 IMController 子进程的命名管道并与之交互。

CVE-2021-3969：在联想系统接口基金会的软件组件 IMController 中报告了一个使用时间检查时间 (TOCTOU) 漏洞，该漏洞可能允许本地攻击者提升权限。”

据 NCC Group 称，ImController 服务安装在某些联想设备上，它以 SYSTEM 用户身份运行，并定期执行执行系统配置和维护任务的子进程。

攻击者可以利用这些漏洞将其权限提升到 SYSTEM 并接管易受攻击的设备。

该漏洞存在于 ImControllerService 处理高特权子进程执行的方式中，这允许具有系统本地访问权限的非特权攻击者提升他们的特权。

有缺陷的易受攻击的组件会定期启动子进程来执行任务，并且每个子进程都会打开一个命名管道服务器，系统上的任何用户都可以连接到该服务器。

“父进程尽快建立到子服务器的连接，以便通过命名管道发送 XML 序列化命令。子进程不验证连接源并解析 XML 序列化命令。父进程可以发送的命令之一指示子进程从文件系统上的任意位置加载“插件”。子进程在将文件加载到其地址空间并让步执行之前验证插件 DLL 文件的数字签名。” 阅读NCC 集团发布的帖子。 “成功利用两个漏洞需要孩子加载攻击者选择的有效载荷。”

研究人员注意到，子进程不会验证连接的来源，这意味着在竞争条件被利用后，它将开始使用高性能文件系统同步例程接受来自攻击者的命令。

NCC Group 研究人员开发了一个概念验证代码，在父服务可以连接到命名管道之前，该代码从未失败。

第二个问题，时间检查到使用时间（TOCTOU）漏洞，被利用来阻止加载过程并用恶意 DLL 文件替换经过验证的插件。DLL 以高权限执行。