pesquisadores de segurança de computador descobriu uma vulnerabilidade de segurança perigosa no aplicativo Lenovo Fingerprint Manager Pro. De acordo com os relatórios da autenticação de segurança de impressão digital pode ser facilmente contornado por usuários de malware através da introdução de uma senha embutida.
Lenovo Fingerprint Manager Pro pode ser contornado devido a um bug de segurança
A Lenovo publicou um patch de segurança crítico para seu utilitário Fingerprint Manager Pro devido a uma vulnerabilidade perigosa que foi descoberta recentemente. De acordo com os relatórios de segurança, o programa responsável pelo gerenciamento das credenciais de impressão digital contém uma senha embutida em código que pode ser usada para substituir o processo de autenticação.
O software é compatível com todas as versões principais da família Microsoft Windows (janelas 7, 8 e 8.1) e permite que os clientes da Lenovo não apenas configurem o bloqueio do sistema operacional, mas também armazenar credenciais de serviços da web. Acontece que isso pode ser extremamente perigoso na presença de tais bugs, pois os operadores de malware podem acessar contas bancárias usando-o. As próprias credenciais de impressão digital são criptografadas usando um algoritmo fraco de acordo com os padrões de segurança contemporâneos.
Como resultado da vulnerabilidade, os usuários de malware com acesso físico às máquinas podem inserir a senha e receber acesso ilimitado aos computadores de destino. Se os usuários da vítima também configuraram quaisquer serviços bancários para autenticar serviços da web usando a digitalização de impressão digital e credenciais de senha armazenadas, então eles também podem ser acessados.
É possível comprometer os computadores alvo remotamente incorporando o código do malware em um vírus ou Trojan. Esses ataques podem ser usados contra usuários de produtos Lenovo. Criminosos de informática experientes podem criar facilmente listas de vítimas em potencial adquirindo-as por meio de fóruns de empresas e comunidades de usuários.
Mais detalhes sobre o bug de segurança da impressão digital da Lenovo
A divulgação do bug diz que o bug afeta os produtos em todas as gamas oferecidas pela empresa - ThinkPad, Laptops ThinkCentre e ThinkStaton, bem como modelos de desktop.
O bug também está sendo rastreado no CVE-2017-3762 consultivo onde se lê o seguinte:
Dados confidenciais armazenados pelo Lenovo Fingerprint Manager Pro, versão 8.01.86 e anteriores, incluindo usuários’ Credenciais de logon do Windows e dados de impressão digital, é criptografado usando um algoritmo fraco, contém uma senha embutida, e é acessível a todos os usuários com acesso não administrativo local ao sistema em que está instalado.
A lista completa inclui os seguintes produtos que são compatíveis com o Fingerprint Manager Pro e, consequentemente, vulneráveis ao bug:
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (Tipo 20A7, 20A8), Carbono X1 (Digite 20BS, 20BT)
- ThinkPad X240, X240s, X250, X260
- ThinkPad Yoga 14 (20FY), Ioga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900a
Todos os usuários devem atualizar imediatamente para versão 8.01.87 ou mais tarde para resolver o problema. Usuários do Microsoft Windows 10 não são afetados, pois o sistema operacional pode interagir diretamente com o leitor de impressão digital.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: