Uočena je značajna sigurnosna ranjivost u unaprijed instaliranim Windows operativnim sistemima na Lenovo računarima, gdje prisustvo datoteke s mogućnošću pisanja u direktorijumu Windows omogućava napadačima da zaobiđu sigurnosni okvir AppLocker kompanije Microsoft.
Ovaj propust utječe na sve varijante Lenovo uređaja koji koriste standardne instalacije Windowsa i predstavlja ozbiljnu prijetnju za sigurnost u korporativnom okruženju.
Srž ranjivosti leži u datoteci MFGSTAT.zip smještenoj u direktorijumu C:\Windows\. Nepravilne dozvole za datoteku omogućavaju svakom ovlaštenom korisniku da piše u ovu lokaciju i izvršava sadržaj iz nje.
Ovakva konfiguracija stvara kritičnu sigurnosnu rupu u okruženjima gdje su primijenjena podrazumijevana pravila AppLockera, budući da ta pravila obično dopuštaju izvršavanje iz bilo kojeg mjesta unutar strukture direktorijuma Windows.
**Tehnika eksploatacije koristi Alternate Data Streams (ADS)**
Tehnika eksploatacije oslanja se na Alternate Data Streams (ADS), manje poznatu NTFS funkciju koja napadačima omogućava sakrivanje izvršnog sadržaja unutar naizgled bezopasnih datoteka.
Oddvar Moe iz TrustedSec-a demonstrirao je napad ugrađivanjem uslužnog programa autoruns.exe iz Microsoft Sysinternals u ranjivu zip datoteku koristeći sljedeći niz naredbi:
Nakon ubacivanja podatkovnog toka, zlonamjerni teret se može izvršiti korištenjem legitimnog programa za učitavanje aplikacija Microsoft Office:
Ova tehnika “Living Off The Land Binary” (LOLBin) iskorištava povjerljive Windows procese za izvršavanje neovlaštenog koda, čime se izbjegavaju tradicionalni sigurnosni nadzorni sistemi.
Vektor napada je posebno zabrinjavajući jer koristi legitimne sistemske komponente, što znatno otežava otkrivanje za sigurnosne timove.
Ranjivost je prvobitno otkrivena 2019. godine tokom rutinskih sigurnosnih procjena, ali je ostala neriješena do Moeovog nedavnog ponovnog istraživanja 2025. godine.
Nakon potvrde postojanosti problema na više generacija Lenovo uređaja, istraživač je kontaktirao Lenovoov tim za odgovor na sigurnosne incidente (PSIRT).
Odgovor kompanije Lenovo ukazuje na to da neće izdati softversku zakrpu; umjesto toga, pružit će smjernice za otklanjanje problema.
**Strategije ublažavanja**
Organizacije mogu odmah poduzeti mjere za otklanjanje problema na nekoliko načina. Najjednostavniji pristup uključuje uklanjanje ranjive datoteke korištenjem PowerShell-a:
Alternativno, administratori mogu koristiti Command Prompt sa zastavicom atributa skrivene datoteke:
Korporativna okruženja bi trebala koristiti Group Policy Preferences, System Center Configuration Manager (SCCM) ili slične alate za upravljanje kako bi osigurali sistematsko uklanjanje na svim pogođenim sistemima.
Ovaj incident naglašava ključni značaj sveobuhvatnog auditiranja sistema datoteka prilikom implementacije AppLockera, jer čak i manji propusti mogu stvoriti značajne sigurnosne ranjivosti koje zaobilaze osnovne kontrole pristupa.