De nombreux modèles d'ordinateurs portables Lenovo, y compris les très populaires ThinkPad et Yoga, sont vulnérables à deux failles de sécurité de type "élévation de privilèges" situées dans le composant ImController.

Les vulnérabilités du jour sont associées aux références CVE-2021-3922 et CVE-2021-3969 et elles ont étaient découvertes par les chercheurs de chez NCC Group, et reportées à Lenovo le 29 Octobre 2021. Lenovo a publié un bulletin de sécurité il y a quelques jours, alors que le correctif est disponible depuis le 17 novembre 2021.

Elles affectent le service ImControllerService présent sur les machines Lenovo, lorsqu'il est installé dans une version inférieure à celle numérotée 1.1.20.3. Le nom anglais du service est "System Interface Foundation Service" au sein de Windows. Ce service préinstallé sur les ordinateurs portables Lenovo permet aux appareils Lenovo de communiquer avec les différentes applications du fabricant : Lenovo Companion, Lenovo Settings ou encore Lenovo ID. En désactivant ce service, les applications Lenovo ne fonctionnent plus correctement.

Le service ImController tourne avec les autorisations SYSTEM, ce qui correspond au plus haut niveau de privilèges sur Windows. En obtenant les droits SYSTEM, on peut faire tout ce que l'on veut sur la machine. Grâce à l'une des deux vulnérabilités contenues dans ce service, un attaquant peut s'appuyer sur ImController pour charger un binaire externe présent sur la machine et réaliser une élévation de privilèges.

La solution est relativement simple et habituelle : il faut passer par la case mise à jour afin de bénéficier d'une version patchée du service ImController. Si vous utilisez ImControllerService 1.1.20.2 ou une version plus ancienne, la mise à jour est nécessaire.

Pour savoir quelle est la version utilisée sur votre machine, suivez les étapes suivantes :

• Accédez au répertoire suivant : C:\Windows\Lenovo\ImController\PluginHost\
• Effectuez un clic droit sur "Lenovo.Modern.ImController.PluginHost.exe" et cliquez sur "Propriétés"
• Cliquez sur l'onglet "Détails" et regardez le numéro de version

Si vous utilisez Intune, alors ce bout de code PowerShell publié par Damien Van Robaeys devrait vous intéresser puisqu'il permet d'identifier les machines avec une version vulnérable d'ImController (mais ce script peut-être utilisé par un autre biais également) : Lenovo - ImController.

Source

The post PC portables Lenovo : ces failles de sécurité permettent de devenir admin first appeared on IT-Connect.