Lenovo ha corregido una grave vulnerabilidad en su software Lenovo Fingerprint Manager Pro por culpa de la cual un atacante con acceso físico a la máquina podía loguearse y conseguir las credenciales de Windows y otros datos de los usuarios de la misma.
El fabricante de ordenadores Lenovo no es que caracterice por hacer las cosas demasiado bien en el campo de la seguridad, ya tuvimos hace un tiempo una noticia similar también con otro gestor de huellas digitales y con esta noticia tenemos otro ejemplo de ello. La vulnerabilidad presente en el software de gestión de acceso Lenovo Fingerprint Manager Pro y presente en un gran número de máquinas de las gamas ThinkPad, ThinkCentre y ThinkStation permitía como decíamos a un atacante con acceso físico a la máquina saltarse sus protecciones y acceder a todos los datos contenidos en el software.
De nuevo contraseñas hard-coded
A parte de almacenar los datos con un cifrado débil, a alguien se le volvió a ocurrir la maravillosa idea de plantar una contraseña en el código, por lo que cualquier usuario sin acceso de administrador podía recuperar cualesquiera credenciales se hubieran utilizado en la máquina.
Al parecer las máquinas afectadas son de los siguientes modelos aquellas que utilizan Windows 7, Windows 8 y Windows 8.1 salvándose las de Windows 10 por utilizar un sistema algo diferente.
- ThinkPad L560
- ThinkPad P40 Yoga, P50s
- ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
- ThinkPad W540, W541, W550s
- ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
- ThinkPad X240, X240s, X250, X260
- ThinkPad Yoga 14 (20FY), Yoga 460
- ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
- ThinkStation E32, P300, P500, P700, P900
Lenovo urge actualizar a la versión 8.01.87 del software, aunque tampoco sería mala idea dejar de utilizar cualquier tipo de gestor de contraseñas y recordarlas o apuntarlas en algún sitio más seguro que un software.
Fuente Lenovo
