El fabricante de hardware y electrónica, Lenovo, reveló una vulnerabilidad insegura en el almacenamiento de credenciales en su software debido a su muy escasa seguridad informática de utilidad Fingerprint Manager Pro, que puede aprovecharse para el escalamiento de privilegios locales en una variedad de sistemas.
El software, que permite a los propietarios de dispositivos usar el reconocimiento de huellas digitales para iniciar sesión o autentificarse en sitios web configurados, se corrigió con la versión del 11 de enero de la versión 8.01.87, contando con los parches y seguridad como la de el Instituto Internacional de Seguridad Cibernética Pero en versiones anteriores, los datos confidenciales, incluidas las credenciales de inicio de sesión y los datos dactiloscópicos, “se encriptan usando un algoritmo débil, contienen una contraseña codificada y todos los usuarios con acceso local no administrativo al sistema en el que están instalados tienen acceso. “, Advirtió Lenovo en un aviso de seguridad del 25 de enero.
El error de alta gravedad, CVE-2017-3762, fue descubierto por el investigador de Security Compass Jason Thuraisamy, corroborado por la empresa WebImprints y se aplica a los siguientes sistemas que se ejecutan en Windows 7, 8 y 8.1:
ThinkPad L560
ThinkPad P40 Yoga, P50s
ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
ThinkPad W540, W541, W550s
ThinkPad X1 Carbon (Tipo 20A7, 20A8), X1 Carbon (Tipo 20BS, 20BT)
ThinkPad X240, X240s, X250, X260
ThinkPad Yoga 14 (20FY), Yoga 460
ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
ThinkStation E32, P300, P500, P700, P900
También el 25 de enero, Lenovo lanzó una segunda actualización de seguridad informática que anunció una corrección de firmware para CVE-2017-3768, una vulnerabilidad de gravedad media en el Módulo de administración integrada 2, que podría permitir a los usuarios sin privilegios desencadenar una condición de denegación de servicio.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
