Software preinstallato? No grazie. L’ossessione di molti produttori nel fornire strumenti software proprietari per la gestione e la manutenzione dei PC non ha come unica conseguenza quella di appesantire il sistema operativo ma, in alcuni casi, di mettere a rischio la sicurezza stessa della macchina.
L’ultimo caso in ordine di tempo è quello di Lenovo, che sulla maggior parte dei suo i computer installa il Lenovo Solution Center (LSC).
Il software ha il compito di monitorare lo “stato di salute” della macchina controllando il livello di carica della batteria, l’attività del firewall e la presenza di aggiornamenti per i driver.
Peccato che consentirebbe a un hacker che avesse accesso alla rete locale di ottenere i privilegi di amministratore e avviare l’esecuzione di codice in remoto.
Scoperta la falla, lo scorso 26 aprile l’azienda è corsa ai ripari con una dichiarazione ufficiale in cui ha annunciato di aver “reso disponibile un aggiornamento che risolve il problema”.
I possessori di computer Lenovo su cui è installato LSC dovranno quindi scaricare e installare il prima possibile la versione aggiornata disponibile sul sito del produttore.
Non è la prima volta che il Lenovo Solution Center finisce nell’occhio del ciclone per problemi di sicurezza: già lo scorso dicembre l’azienda cinese aveva dovuto rilasciare una nuova versione del software per correggere una vulnerabilità che avrebbe consentito di avviare l’esecuzione di codice attraverso la semplice visualizzazione di una pagina Web o di un’mail in formato HTML.
Aggiornamento: Lenovo ci ha inviato la sua dichiarazione ufficiale sul problema riscontrato, che pubblichiamo qui di seguito.
A dicembre del 2015, Lenovo aveva pubblicato un security advisory su alcune vulnerabilità software riscontrate nel Lenovo Solution Center (LSC) che avrebbero potuto essere utilizzate per compromettere il sistema attraverso un attacco remoto ai diritti di sistema. Lenovo aveva in quel caso prontamente pubblicato le indicazioni per gestire tali vulnerabilità. In un secondo momento, Trustwave, società di ricerca indipendente, aveva segnalato a Lenovo un'ulteriore vulnerabilità nel Lenovo Solution Center che avrebbe potuto portare un accesso non autorizzato ai diritti di sistema. Lenovo ha agito subito in linea con le best practice di settore per risolvere la questione e il 26 aprile aveva aggiornato nuovamente il proprio advisory di sicurezza per notificare questa ulteriore vulnerabilità e la relativa pronta disponibilità di una soluzione per risolverla. Raccomandiamo agli utenti di aggiornare i propri sistemi all'ultima versione del Lenovo System Update 3.3.002 che affronta e risolve tutte le vulnerabilità di sicurezza conosciute.