联想Lenovo于12月15日发布了一则漏洞通告，漏洞存在于Lenovo Vantage使用的Lenovo System Interface Foundation的IMController组件中，是两个严重程度为高的权限提升漏洞。

漏洞由NCC集团旗下Fox-IT的Rick Veldhoven于2021年10月29日向联想报告，相应的安全更新发布于2021年11月17日。

这两个漏洞编号为CVE-2021-3922 和 CVE-2021-3969，影响所有1.1.20.3 版本以下的Lenovo System Interface Foundation的 ImControllerService 组件。Lenovo System Interface Foundation为多种功能提供接口，如系统电源管理、系统优化、驱动程序和应用程序更新以及联想应用程序的系统设置。该服务预安装在多数联想型号上，包括Yoga和ThinkPad设备。

漏洞原理

CVE-2021-3922：竞态条件漏洞，该漏洞可能允许本地攻击者连接 IMController 子进程的命名管道并与之交互。

ImController需要从联想服务器获取和安装文件、执行子进程如执行系统配置和维护任务，它以 SYSTEM 权限运行。但是ImController无法安全地处理特权子进程之间的通信，并且无法验证 XML 序列化命令的源，这意味着恶意进程也可以连接到子进程发出命令。

CVE-2021-3969：检查时间/使用时间 （TOCTOU） 漏洞，该漏洞可能允许本地攻击者提升权限。

利用该漏洞，攻击者能够停止经过验证的ImControllerService插件的加载过程，并将其替换为恶意DLL，该DLL可以高权限执行。

解决方案

建议所有使用运行 ImController 1.1.20.2 或更早版本的联想笔记本或台式机的用户升级到最新的可用版本 1.1.20.3。

如何查看您的联想 IMController 版本：

不建议从设备中删除 ImController或Lenovo System Interface Foundation，因为它可能会影响设备上的某些功能。