Hardcoded wachtwoord ontdekt in Lenovo Fingerprint Manager Pro

Een ernstige kwetsbaarheid is ontdekt in verschillen ThinkPad, ThinkCentre en ThinkStation systemen van Lenovo. De software Lenovo Fingerprint Manager Pro voor Windows 7,8 en 8.1 blijkt een hardcoded wachtwoord te bevatten waarmee aanvallers kunnen inloggen op het systeem. Het beveiligingslek is niet aanwezig in Windows 10.

Lenovo Fingerprint Manager Pro is software waarmee gebruikers met behulp van hun vingerafdruk kunnen inloggen op onder andere hun systeem en websites. Beveiligingsonderzoeker Jackson Thuraisamy van Security Compass heeft echter een beveiligingslek ontdekt in deze software, waarvan de impact door Lenovo als 'hoog' wordt omschreven.

Zwak algoritme en hardcoded wachtwoord

"Een kwetsbaarheid is ontdekt in Lenovo Fingerprint Manager Pro. Gevoelige data opgeslagen door Lenovo Fingerprint Manager Pro, inclusief inloggegevens en vingerafdrukken van Windows gebruikers, wordt versleuteld met een zwak algoritme, dat een hardcoded wachtwoord bevat en toegankelijk is voor alle gebruikers met lokale toegang en zonder administratieve rechten op het systeem waarop het geïnstalleerd is", schrijft Lenovo in een security advisory.

De kwetsbaarheid treft de volgende systemen indien deze zijn voorzien van Windows 7, 8 en 8.1:

• ThinkPad L560
• ThinkPad P40 Yoga, P50s
• ThinkPad T440, T440p, T440s, T450, T450s, T460, T540p, T550, T560
• ThinkPad W540, W541, W550s
• ThinkPad X1 Carbon (Type 20A7, 20A8), X1 Carbon (Type 20BS, 20BT)
• ThinkPad X240, X240s, X250, X260
• ThinkPad Yoga 14 (20FY), Yoga 460
• ThinkCentre M73, M73z, M78, M79, M83, M93, M93p, M93z
• ThinkStation E32, P300, P500, P700, P900

Updaten naar nieuwste versie

Lenovo heeft de kwetsbaarheid verholpen in versie 8.01.87 van Lenovo Fingerprint Manager Pro. Het bedrijf adviseert gebruikers dan ook de software te updaten naar deze of een nieuwere versie.