Lenovo LegionSpace 1.7.11.2 z luką Unquoted Service Path w usłudze DAService

Wprowadzenie do problemu / definicja

W Lenovo LegionSpace 1.7.11.2 ujawniono lokalną podatność typu Unquoted Service Path, która dotyczy usługi DAService uruchamianej w systemie Windows. Tego rodzaju błąd występuje wtedy, gdy ścieżka do pliku wykonywalnego usługi zawiera spacje, ale nie została zapisana w cudzysłowie, co może prowadzić do błędnej interpretacji podczas startu procesu.

W praktyce oznacza to ryzyko lokalnej eskalacji uprawnień. Jeśli atakujący ma możliwość umieszczenia odpowiednio nazwanego pliku wykonywalnego w uprzywilejowanej lokalizacji, może doprowadzić do uruchomienia własnego kodu z wyższymi uprawnieniami niż te, które pierwotnie posiadał.

W skrócie

• Podatność dotyczy Lenovo LegionSpace 1.7.11.2 dla systemu Windows.
• Problem występuje w usłudze DAService.
• Usługa działa w kontekście konta LocalSystem i jest skonfigurowana do automatycznego uruchamiania.
• Scenariusz ataku może prowadzić do lokalnej eskalacji uprawnień do poziomu SYSTEM.
• Zalecaną poprawką jest aktualizacja do wersji 1.8.12.13 lub nowszej.

Kontekst / historia

Lenovo LegionSpace to oprogramowanie wspierające urządzenia z serii Legion, odpowiedzialne między innymi za funkcje zarządzania platformą, integrację usług oraz komponenty działające w tle. Jak wiele aplikacji OEM, instaluje ono własne usługi systemowe, które często startują automatycznie i działają z podwyższonymi uprawnieniami.

Publiczne zgłoszenie opisało problem jako lokalny exploit dla Windows. Według dostępnych informacji błąd został wykryty 4 grudnia 2025 roku, tego samego dnia zgłoszony producentowi, a poprawiona wersja oprogramowania miała pojawić się 9 lutego 2026 roku. Mimo braku identyfikatora CVE, znaczenie podatności pozostaje istotne z punktu widzenia bezpieczeństwa stacji roboczych i środowisk firmowych.

Analiza techniczna

Rdzeniem problemu jest konfiguracja usługi DAService, której ścieżka binarna wskazuje na plik wykonywalny umieszczony w katalogu Program Files, ale nie została ujęta w cudzysłowy. W takim układzie system Windows może rozpatrywać alternatywne ścieżki wynikające z obecności spacji i próbować uruchomić niewłaściwy plik znajdujący się wcześniej w analizowanej ścieżce.

Opisywana usługa została wskazana jako uruchamiana automatycznie, działająca jako osobny proces i korzystająca z konta LocalSystem. To ważne, ponieważ taka konfiguracja znacząco zwiększa wagę błędu. Jeśli lokalny użytkownik lub złośliwe oprogramowanie będzie w stanie umieścić kontrolowany plik binarny w odpowiednim miejscu, może doprowadzić do wykonania kodu z najwyższymi uprawnieniami systemowymi.

Nie jest to luka zdalna i jej wykorzystanie wymaga spełnienia dodatkowych warunków. Sam brak cudzysłowów w ścieżce nie oznacza jeszcze pełnej kompromitacji urządzenia. Kluczowe znaczenie mają uprawnienia NTFS, polityki wykonywania aplikacji oraz ogólna jakość utwardzenia systemu. Mimo to podatności tego typu są cenione przez napastników jako element łańcucha post-exploitation.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem podatności jest możliwość podniesienia uprawnień do poziomu SYSTEM. W praktyce pozwala to przejąć pełną kontrolę nad hostem, wyłączyć lub osłabić mechanizmy ochronne, utrwalić dostęp oraz wykraść wrażliwe dane lub poświadczenia.

Ryzyko rośnie szczególnie wtedy, gdy atakujący posiada już ograniczony dostęp do stacji roboczej, na przykład po phishingu, infekcji malware albo przejęciu konta użytkownika. W takim scenariuszu luka może zostać wykorzystana jako kolejny etap ataku, umożliwiający dalszy ruch boczny i rozwinięcie kompromitacji w sieci organizacji.

• eskalacja uprawnień do poziomu SYSTEM,
• uruchomienie nieautoryzowanego kodu przez usługę systemową,
• zwiększenie skuteczności malware działającego w kontekście użytkownika,
• ułatwienie utrzymania trwałości na stacji roboczej,
• potencjalne wsparcie dla dalszych działań post-exploitation.

Rekomendacje

Podstawowym działaniem naprawczym jest aktualizacja Lenovo LegionSpace do wersji 1.8.12.13 lub nowszej. Organizacje powinny zweryfikować, czy na zarządzanych urządzeniach nadal występuje wersja 1.7.11.2 i czy po aktualizacji konfiguracja usługi została poprawiona.

Poza samym wdrożeniem poprawki warto potraktować incydent jako sygnał do szerszego przeglądu usług Windows w środowisku. Błędy typu Unquoted Service Path są stosunkowo łatwe do wykrycia, a jednocześnie mogą mieć duże znaczenie operacyjne dla napastników.

• przeprowadzić audyt usług Windows pod kątem niecytowanych ścieżek binarnych,
• sprawdzić uprawnienia zapisu do katalogów systemowych i aplikacyjnych,
• monitorować pojawianie się nietypowych plików wykonywalnych w ścieżkach usług,
• wdrożyć AppLocker lub Windows Defender Application Control,
• ograniczyć uprawnienia użytkowników końcowych zgodnie z zasadą najmniejszych uprawnień,
• objąć usługi OEM dodatkowymi regułami monitoringu EDR.

Podsumowanie

Lenovo LegionSpace 1.7.11.2 zawiera lokalną podatność typu Unquoted Service Path w usłudze DAService. Choć wykorzystanie błędu wymaga lokalnego dostępu oraz odpowiednich warunków środowiskowych, skutkiem może być eskalacja uprawnień do poziomu SYSTEM, co czyni problem istotnym z perspektywy bezpieczeństwa endpointów.

Dla zespołów bezpieczeństwa to kolejny przykład, że pozornie prosty błąd konfiguracyjny może mieć poważne skutki operacyjne. Najważniejsze działania to szybka aktualizacja oprogramowania oraz regularny audyt wszystkich usług systemowych pod kątem podobnych nieprawidłowości.

Źródła

• Exploit Database: Lenovo LegionSpace 1.7.11.2 – 'DAService’ Unquoted Service Path
• Lenovo Support: Legion Space
• Microsoft Learn: Security identifiers i kontekst kont usług Windows
• Microsoft Learn: Tworzenie i konfiguracja usług Windows
• MITRE ATT&CK: Privilege Escalation