В программном обеспечении Lenovo Solution Centre (LSC) специалисты Pen Test Partners (PTP) обнаружили проблему, которая получила идентификатор CVE-2019-6177. Как выяснилось, она существует с 2011 года. По словам исследователей, благодаря этому недостатку злоумышленник может расширить свои права в системе.
В апреле 2018 года компания Lenovo предложила пользователям сменить Lenovo Solution Center на Lenovo Vantage или Lenovo Diagnostics, в связи с прекращением поддержки Lenovo Solution Center. Компания акцентирует внимание пользователей на завершении срока поддержки, не учитывая, что большинство ноутбуков на Windows от Lenovo поставляются с дефолтным LSC.
Также, специалисты PTP, отметили что программа добавляет задание "\Lenovo\Lenovo Solution Center Launcher",предоставляющее максимально доступные права.
Для использования уязвимости, злоумышленник создает ссылку в директории C:\ProgramData\Lenovo\LSC\log\, указывающую на файл, которому нужно повысить права доступа.