‘Hackers kunnen nep-updates verspreiden naar Lenovo computers’

Opnieuw is Lenovo in de verlegenheid gebracht door een incident. Het updatemechanisme dat standaard op Lenovo computers aanwezig is blijkt een ernstig beveiligingsgat te bevatten. Aanvallers kunnen het mechanisme overnemen en zelf geschreven software als update laten installeren.

Dit meldt IOActive, dat meerdere beveiligingsgaten in software op Lenovo computers heeft aangetroffen. Het meest ernstige lek heeft betrekking op het updatemechanisme. Aanvallers blijken via een man-in-the-middle aanval die mechanisme te kunnen kapen. Bij zo’n aanval zet een cybercrimineel een vals WiFi-netwerk op in bijvoorbeeld een café.

Zodra Lenovo-gebruikers verbinding maken met dit netwerk kan de aanval beginnen. Aanvallers injecteren eigen software dat is voorzien van nagemaakte beveiligingscertificaten in het updatemechanisme. Dit mechanisme is hierdoor niet in staat de malafide update van een legitieme update te onderscheiden, waardoor deze probleemloos wordt geïnstalleerd. In deze valse update kan bijvoorbeeld malware worden verstopt. Het probleem is inmiddels verholpen door Lenovo met een update, die handmatig zal moeten worden geïnstalleerd.

Update:

Lenovo heeft het volgende statement naar buiten gebracht over het beveiligingsgat: 

"Lenovo System Update Statement
Lenovo’s development and security teams worked directly with IOActive regarding their System Update vulnerability findings, and we value their expertise in identifying and responsibly reporting them. Lenovo released an updated version of System Update on April 1st which resolves these vulnerabilities and subsequently published a security advisory in coordination with IOActive at: https://support.lenovo.com/us/en/product_security/lsu_privilege. Existing installations of System Update will prompt the user to automatically install the updated version when the application is run. Alternatively, users may manually update System Update as described in the security advisory. Lenovo recommends that all users update System Update to eliminate the vulnerabilities reported by IOActive."