Sicherheitstool sorgt auf Lenovo-Rechnern für Sicherheitslücke
Die Schwachstelle im vorinstallierten Lenovo Solution Center kann das Einschleusen von Schadcode ermöglichen. Gegebenenfalls ist ein Angreifer dadurch in der Lage, komplett die Kontrolle über ein betroffenes System zu übernehmen. Das Einspielen eines erforderlichen Updates muss manuell angestoßen werden.
Das Sicherheitsunternehmen Trustwave hat auf eine Anfälligkeit in einer Software hingewiesen, die Lenovo auf fast allen PCs, Notebooks und Tablets werkseitig installiert. Sie findet sich im Lenovo Solution Center, das es ermöglicht, Sicherheitsfunktionen zu verwalten und den Zustand von Software, Hardware und Netzwerkverbindungen einzusehen. Womöglich sind davon mehrere Millionen Anwender weltweit betroffen.
Die Schwachstelle erlaubt laut Trustwave eine nicht autorisierte Erweiterung von Benutzerrechten. Gegebenenfalls kann ein Angreifer die vollständige Kontrolle über ein betroffenes System übernehmen und auch Malware einschleusen und ausführen – und zwar auch dann, wenn das Solution Center offensichtlich gar nicht ausgeführt wird.
Die Sicherheitslücke selbst wurde vertraulich an Lenovo gemeldet. Der chinesische Hersteller liefert sogar schon seit vorletzter Woche eine Aktualisierung für das Solution Center aus. Kunden bekommen das Update auf Version 3.3.002 allerdings nicht automatisch. Die Software muss zunächst manuell gestartet werden, erst danach werden Nutzer aufgefordert, die Aktualisierung einzuspielen.
Das auch als Bloatware bezeichnete Solution Center wird mit Rechnern der Modellreihen ThinkPad, ThinkCenter, ThinkStation, IdeaCenter und IdeaPad verteilt, auf denen Windows ab Version 7 ab Werk installiert ist. Einige Anwender stufen sie auch als unerwünschte Crapware ein, da sie zum Betrieb der Lenovo-Produkte nicht erforderlich ist.
Zum wiederholten Male stellt derartige “Zusatzsoftware” von Lenovo ein Sicherheitsrisiko für Anwender dar. Bereits im Dezember 2015 erlaubte das Lenovo Solution Center das Einschleusen und Ausführen von Schadcode. Zu dem Zeitpunkt waren aber auch ähnliche Anwendungen von Dell und Toshiba betroffen.
Für mehr Aufsehen sorgte Anfang 2015 die Adware Superfish Visual Discovery. Sie brachte nicht nur unerwünschte Werbung, sondern auch ein selbstsigniertes Rootzertifikat, das der Software die Entschlüsselung von mit HTTPS chiffriertem Datenverkehr ermöglichte. Da das Lenovo-Zertifikat auch in die Liste der Systemzertifikate aufgenommen wurde, konnte es zugleich für schädliche Attacken ausgenutzt werden.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de