آسیب پذیری Hard Coded Password در Lenovo
آسیب پذیری Hard Coded Password در Lenovo موضوع این تاپیک میباشد:)
باسلام خدمت همه عزیزان و کاربران http://pentestcore.com
شرکت Lenovo اخیرا پچ های امنیتی شدیدی برای آسیب پذیری نرم افزار مدیریت حسگر اثر انگشت منتشر کرده است
که به نفوذگران اجازه میداد اطلاعات حساس انباشته شده در سیستم کاربران رو مورد سرقت قرار دهند.
نرم افزار مدیریت حسگر اثر انگشت محصولی از شرکت ماکروسافت میباشد که برای ویندوز7 و 8 و 8.1 منتشر شده است
که کاربران اجازه میدهد برای سیستم هایی که در آن ها حسگر اثر انگشت فعال است ، از طریق اثر انگشت
خود به سیستم های Lenovo خود لاگین کنند:)
نرم افزار همچنین توانایی کانفیگ شدن برای وبسایت های فروشگاهی را داراست که از طریق اثر انگشت احراز هویت و اقدام به خرید کنند!!!
بعلاوه ی اطلاعات اثر انگشت ، نرم افزار توانایی ذخیره اطلاعات حیاتی از جمله اطلاعات احراز هویت
برای ورود به ویندوز را که از الگوریتم ضعیفی برای انکریپت استفاده میکند را داراست.
مطابق کمپانی نرم افزار مدیریت حسگر اثر انگشت ورژن 8.01.86 و ورژن های قبلی شامل آسیب پذیری “Hard Coded Password” بوده
که با عنوان CVE-2017-3762 شناخته میشود که در آن از طریق نرم افزار به تمام یوزر های لوکال دسترسی غیر ادمین خواهد داشت.
در پایین لیست کاملی از تمام دستگاه های Lenovo مجهز به سیستم مدیریت حسگر اثر انگشت برای شما آماده کرده ایم که تحت تاثیر این آسیب پذیری قرار دارند :
ThinkPad L560
ThinkPad P40 Yoga, P50s
ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
ThinkPad W540, W541, W550s
ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
ThinkPad X240, X240s, X250, X260
ThinkPad Yoga 14 (20FY), Yoga 460
ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
ThinkStation E32, P300, P500, P700, P900
این آسیب پذیری توسط متخصص امنیتی جکسون تورایسامی کشف و گزارش و شد.