PC portables Lenovo : ces failles de sécurité permettent de devenir admin

De nombreux modèles d'ordinateurs portables Lenovo, y compris les très populaires ThinkPad et Yoga, sont vulnérables à deux failles de sécurité de type "élévation de privilèges" situées dans le composant ImController.

Les vulnérabilités du jour sont associées aux références CVE-2021-3922 et CVE-2021-3969 et elles ont étaient découvertes par les chercheurs de chez NCC Group, et reportées à Lenovo le 29 Octobre 2021. Lenovo a publié un bulletin de sécurité il y a quelques jours, alors que le correctif est disponible depuis le 17 novembre 2021.

Elles affectent le service ImControllerService présent sur les machines Lenovo, lorsqu'il est installé dans une version inférieure à celle numérotée 1.1.20.3. Le nom anglais du service est "System Interface Foundation Service" au sein de Windows. Ce service préinstallé sur les ordinateurs portables Lenovo permet aux appareils Lenovo de communiquer avec les différentes applications du fabricant : Lenovo Companion, Lenovo Settings ou encore Lenovo ID. En désactivant ce service, les applications Lenovo ne fonctionnent plus correctement.

Le service ImController tourne avec les autorisations SYSTEM, ce qui correspond au plus haut niveau de privilèges sur Windows. En obtenant les droits SYSTEM, on peut faire tout ce que l'on veut sur la machine. Grâce à l'une des deux vulnérabilités contenues dans ce service, un attaquant peut s'appuyer sur ImController pour charger un binaire externe présent sur la machine et réaliser une élévation de privilèges.

La solution est relativement simple et habituelle : il faut passer par la case mise à jour afin de bénéficier d'une version patchée du service ImController. Si vous utilisez ImControllerService 1.1.20.2 ou une version plus ancienne, la mise à jour est nécessaire.

Pour savoir quelle est la version utilisée sur votre machine, suivez les étapes suivantes :

  • Accédez au répertoire suivant : C:\Windows\Lenovo\ImController\PluginHost\
  • Effectuez un clic droit sur "Lenovo.Modern.ImController.PluginHost.exe" et cliquez sur "Propriétés"
  • Cliquez sur l'onglet "Détails" et regardez le numéro de version

Si vous utilisez Intune, alors ce bout de code PowerShell publié par devrait vous intéresser puisqu'il permet d'identifier les machines avec une version vulnérable d'ImController (mais ce script peut-être utilisé par un autre biais également) : Lenovo - ImController.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3489 posts and counting.See all posts by florian

One thought on “PC portables Lenovo : ces failles de sécurité permettent de devenir admin

  • La nécessité de réinstaller les systèmes dès leur réception et ne pas installer les applications inutiles se démontre une fois de plus!

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.