พบช่องโหว่บนซอฟต์แวร์สนับสนุนของ Lenevo, Dell และ Toshiba

ข่าวร้ายสำหรับผู้ใช้งาน PC ของ Lenovo, Dell และ Toshiba เมื่อซอฟต์แวร์สนับสนุนที่ติดมากับเครื่อง ได้แก่ Lenovo Solution Center, Dell System Detect และ Toshiba Service Station ถูกค้นพบว่ามีช่องโหว่ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกลได้ โดยได้สิทธิ์ระดับ System

ช่องโหว่เหล่านี้ถูกค้นพบโดยแฮ็คเกอร์ที่ใช้ชื่อว่า Slipstream และ RoL เมื่อสัปดาห์ที่ผ่านมา ซึ่งต่อมา CERT Coordination Center ที่มหาวิทยาลัยคาร์เนกี้ เมลลอน (CMU) ก็ได้ออก Security Advisory สำหรับช่องโหว่ดังกล่าวตามมาทันที

Lenovo ได้รับผลกระทบรุนแรงสุด

Lenovo Solution Center นับได้ว่าได้รับผลกระทบต่อช่องโหว่สูงที่สุด กล่าวคือ แฮ็คเกอร์สามารถรันโค้ดบนคอมพิวเตอร์ Lenovo ผ่านทางเว็บไซต์ปลอมของแฮ็คเกอร์โดยได้สิทธิ์เป็น System ทันที

สาเหตุหลักมาจาก LSCTaskService ซึ่งเป็น Service ที่ถูกสร้างขึ้นโดย Lenovo Solution Center และถูกรันโดยสิทธิ์ระดับ System Service นี้จะทำการเปิด HTTP Daemon บนพอร์ท 55555 สำหรับคอยรับคำสั่งต่างๆ หนึ่งในคำสั่งเหล่านั้น คือ RunInstaller ซึ่งจะทำการรันไฟล์ที่เก็บไว้โฟลเดอร์ %APPDATA%\LSC\Local Store

สามารถรันคำสั่งด้วยสิทธิ์ System

ที่น่าตกใจคือ ผู้ใช้คอมพิวเตอร์มีสิทธิ์เข้าถึงและแก้ไขโฟลเดอร์ดังกล่าวได้อย่างเต็มที่โดยไม่ต้องสนใจสิทธิ์ใดๆ แต่ไฟล์ในโฟลเดอร์นี้จะถูกรันโดยสิทธิ์ระดับ System ทันที ผู้ใช้สามารถใช้ช่องโหว่เรื่องสิทธิ์นี้ในการเข้าควบคุมระบบทั้งหมดได้ทันที

มีช่องโหว่ CSRF แถมมาด้วย

นอกจากนี้ ยังมีช่องโหว่ Directory Traversal ซึ่งช่วยให้แฮ็คเกอร์สามารถใช้หลอก Lenovo Solution Center เพื่อรันคำสั่งจากโฟลเดอร์ใดก็ได้ ไม่จำเป็นต้องเป็นโฟลเดอร์ %APPDATA%\LSC\Local Store อีกต่อไป และที่น่าตกใจยิ่งกว่าคือ LSCTaskService ยังมีช่องโหว่ Cross-site Request Forgery (CSRF) แถมมาอีกด้วย ส่งผลให้แฮ็คเกอร์ไม่จำเป็นต้องเข้าถึงเครื่องคอมพิวเตอร์ก็สามารถหลอกล่อให้เหยื่อเข้าถึงเว็บไซต์ของตนเพื่อแอบส่งคำสั่งไปรันบนเครื่องของเหยื่อได้ทันที

Lenovo ได้ทราบถึงช่องโหว่ดังกล่าว และกำลังทำการตรวจสอบเพื่ออุดช่องโหว่ให้เร็วที่สุด ระหว่างนี้แนะนำให้ผู้ใช้ยกเลิกการติดตั้ง Lenovo Solution Center ออกไปก่อน

ช่องโหว่บน Toshiba และ Dell ก็มีแนวคิดคล้ายๆกัน

Slipstream ยังได้เปิดเผยช่องโหว่ของ Toshiba Service Station และ Dell System Detect แต่ก็ยังนับว่ามีความรุนแรงไม่เท่า Lenovo โดย Toshiba Service Station จะทำการสร้าง Service ที่เรียกว่า TMachInfo ซึ่งถูกรันด้วยสิทธิ์ระดับ System และรับคำสั่งผ่านทาง UDP Port 1233 หนึ่งในคำสั่งเหล่านั้น คือ Reg.Read ซึ่งสามารถใช้อ่านค่า Registry บน Windows ได้

สำหรับ Dell นั้น ได้พยายามแก้ไขปัญหาช่องโหว่ดังกล่าวด้วยการพิสูจน์ตัวตนโดยใช้ RSA-1024 Signature แต่กลับเก็บไว้บนเว็บไซต์ที่เปิดให้แฮ็คเกอร์สามารถเข้าไปดาวน์โหลดมาใช้งานได้

ทาง Toshiba และ Dell ยังไม่ได้ออกมาพูดถึงช่องโหว่ที่ถูกค้นพบนี้แต่อย่างใด

ที่มา: http://www.networkworld.com/article/3012058/vulnerabilities-found-in-lenovo-toshiba-dell-support-software.html