Une vulnérabilité de sécurité de type élévation de privilège, CVE-2019-6177, a été découverte par Pen Test Partners dans le logiciel Lenovo Solution Centre (LSC), sans doute Centre de Solution Lenovo en français, un des logiciels de Lenovo pré-installé avec Windows.

Elle permet à toute personne avec peu de privilège sur le système de prendre le contrôle complet d’un fichier, alors qu’elle n’aurait pas dû être autorisée normalement. Cette faille peut être exploitée pour pouvoir exécuter tout code arbitraire sur l’ordinateur avec un accès administrateur ou SYSTEM.

D’après le spécialiste de la sécurité, il est assez probable que cette faille de sécurité existe depuis le lancement du logiciel en 2011.

Pen Test Partners a informé Lenovo en toute confidentialité en mai 2019, et Lenovo s’est contentée de répondre que le programme était en fin de vie depuis le 30 novembre 2018.

Il semblerait toutefois que Lenovo ait changé la date de fin de vie à son avantage juste après avoir été informée…

La solution est simple : désinstaller Lenovo Solution Centre.

À la place, pour ceux qui le souhaitent vraiment, il est possible d’installer Lenovo Vantage et/ou Lenovo Diagnostics pour obtenir les mêmes fonctionnalités qu’avec LSC.