Des vulnérabilités ont été trouvées dans les ordinateurs portables Lenovo permettant aux attaquants d'exécuter des commandes avec des droits d'administrateur, ce qui leur donne le control total du système.

Les vulnérabilités sont identifiées comme CVE-2021-3922 et CVE-2021-3969 et impactent le composant ImControllerService de toutes les versions de Lenovo System Interface Foundation inférieures à 1.1.20.3.

Le service Lenovo System Interface Foundation fournit des interfaces pour des fonctions clés telles que : la gestion de l'alimentation du système, l'optimisation du système, les mises à jour des pilotes et des applications, et les paramètres du système aux applications Lenovo, notamment Lenovo Companion, Lenovo Settings et Lenovo ID. Ce service porte le nom d'affichage "System Interface Foundation Service".

La première vulnérabilité existe dans le composant IMController, qui pourrait permettre à un attaquant local de se connecter et d'interagir avec le ‘pip’ nommé du processus enfant IMController.

Le deuxième problème est une faille de type "time-of-check to time-of-use" (TOCTOU), qui permet aux cybercriminels de bloquer le chargement d'un plugin ImControllerService vérifié et de le remplacer par une DLL de leur choix, ce qui entraîne une élévation de privilèges.

Il est recommandé aux utilisateurs de Windows possédant un ordinateur Lenovo et utilisant la version 1.1.20.2 d'ImController ou une version plus ancienne de passer à la version la plus récente disponible (1.1.20.3)