Značajna sigurnosna ranjivost otkrivena je u predinstaliranim Windows operativnim sistemima kompanije Lenovo, gdje pisiva datoteka u direktoriju Windows omogućava napadačima da zaobiđu AppLocker sigurnosni okvir kompanije Microsoft.
Ovaj problem pogađa sve varijante Lenovo mašina koje koriste standardne Windows instalacije i predstavlja ozbiljne implikacije za sigurnosna okruženja preduzeća.
Ranjivost je fokusirana na datoteku MFGSTAT.zip koja se nalazi u direktoriju C:\Windows\, a koja posjeduje netačna dozvoljena prava pristupa, što omogućava svakom ovlaštenom korisniku da piše u ovaj direktorij i izvršava sadržaj iz njega.
Ključni zaključci su: pisiva datoteka MFGSTAT.zip u Lenovo direktoriju Windows zaobilazi AppLocker sigurnost zbog neispravnih dozvola; koriste se alternativni podatkovni tokovi (Alternate Data Streams) za sakrivanje izvršnih datoteka unutar zip datoteke, a zatim se pokreću putem legitimnih Windows procesa; ovo utiče na sve Lenovo mašine sa predinstaliranim Windows-om, otkriveno je 2019. godine ali je još uvijek prisutno 2025. godine; datoteku je moguće obrisati pomoću PowerShell komande ili alata za upravljanje preduzećima, a zakrpa nije dostupna.
Ova konfiguracija stvara kritičnu sigurnosnu rupu u okruženjima gdje su primijenjena podrazumijevana pravila AppLockera, jer ta pravila obično dopuštaju izvršavanje iz bilo koje lokacije unutar strukture direktorija Windows.
Metoda eksploatacije koristi alternativne podatkovne tokove (ADS)
Metoda eksploatacije koristi alternativne podatkovne tokove (ADS), manje poznatu NTFS funkciju koja omogućava napadačima da sakriju izvršni sadržaj unutar naizgled bezopasnih datoteka.
Oddvar Moe iz TrustedSec-a demonstrirao je napad ugrađujući uslužni program autoruns.exe iz Microsoft Sysinternalsa u ranjivu zip datoteku koristeći sljedeći niz komandi.
Nakon umetanja podatkovnog toka, zlonamjerni teret može se izvršiti koristeći legitimni učitavač aplikacija Microsoft Office.
Ova tehnika “Living Off The Land Binary” (LOLBin) iskorištava povjerljive Windows procese za izvršavanje neovlaštenog koda, istovremeno izbjegavajući tradicionalne sisteme za nadzor sigurnosti.
Ovaj vektor napada je posebno zabrinjavajući jer koristi legitimne sistemske komponente, što znatno otežava otkrivanje za sigurnosne timove.
Ranjivost je prvobitno otkrivena 2019. godine tokom rutinskih sigurnosnih procjena, ali je ostala neriješena sve do Moeovog nedavnog ponovnog istraživanja 2025. godine.
Nakon potvrde postojanosti problema na više generacija Lenovo uređaja, istraživač je kontaktirao Lenovo tim za odgovor na sigurnosne incidente proizvoda (PSIRT).
Odgovor kompanije Lenovo ukazuje na to da neće objaviti softversku zakrpu; umjesto toga, pružit će smjernice za otklanjanje problema.
Metode ublažavanja
Organizacije mogu implementirati hitno otklanjanje problema kroz nekoliko metoda. Najjednostavniji pristup uključuje uklanjanje ranjive datoteke pomoću PowerShell-a.
Alternativno, administratori mogu koristiti Komandni redak sa zastavicom za skriveni atribut datoteke.
Okruženja preduzeća trebaju koristiti Group Policy Preferences, System Center Configuration Manager (SCCM) ili slične alate za upravljanje kako bi osigurali sistematsko uklanjanje na svim pogođenim sistemima.
Ovaj incident naglašava ključni značaj sveobuhvatnog nadzora datotečnog sistema prilikom implementacije AppLockera, jer čak i manji propusti mogu stvoriti značajne sigurnosne ranjivosti koje zaobilaze temeljne kontrole pristupa.
