Seguridad

Lenovo corrige varios fallos en el servicio de actualizaciones de sus PC

Lenovo, sobre Superfish: “Podríamos haber hecho más”

Lenovo ha corregido dos vulnerabilidades graves detectadas en su programa Lenovo System Update, una herramienta precargada que permite tener sus PC a la última versión de la BIOS, drivers y otras funciones clave.

Después de los fallos de seguridad admitidos por Dell, ahora es la china Lenovo la que ha lanzado una nueva actualización (la tercera en menos de seis meses) de una herramienta precargada que permite tener sus PC a la última versión de la BIOS, drivers y otras funciones clave.

Así pues, la pasada semana, la compañía lanzó la versión 5.07.0019 de Lenovo System Update, anteriormente conocida bajo la denominación de ThinkVantage System Update. La nueva versión corrige dos vulnerabilidades descubiertas por investigadores de la empresa de seguridad IOActive y que podían permitir a un atacante acceder a cualquier equipo Lenovo con permiso de administrador, ejecutando así cualquier código malicioso en el dispositivo.

Una de las vulnerabilidades se encuentra en el sistema de la ayuda de la herramienta y permite a usuarios con cuentas de Windows limitadas (es decir, no administradores) iniciar una instancia de Internet Explorer con privilegios de administrador al hacer clic en las direcciones URL de las páginas de ayuda.

Lenovo investiga la seguridad de un software que instalaba de serie en algunos modelos de PC

Ello es posible porque Lenovo System Update se ejecuta bajo una cuenta de administración temporal que la aplicación crea cuando se instala, por lo que cualquier proceso que se inicie a partir de ella se ejecutará bajo la misma cuenta.

Otra vulnerabilidad ligada a la generación de usuarios y contraseñas

La segunda vulnerabilidad detectada en la aplicación de Lenovo está relacionada con la forma en que se genera el nombre y contraseña de la ya mencionada cuenta de administrador temporal.

US-IT-TABLET-CHINA-LENOVO

El nombre de usuario sigue el patrón tvsu_tmp_xxxxxXXXXX, donde cada x minúscula es una letra minúscula generada aleatoriamente y cada mayúscula X es una letra mayúscula generada aleatoriamente. Sin embargo, la función que se supone debe elegir al azar las letras está ligada a la hora actual, por lo que puede predecirse con facilidad por parte de un hacker. Una vez adivinada la combinación correcta, el hacker puede entrar en el equipo con total impunidad sin ser detectado por el usuario.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.