Značajna sigurnosna ranjivost otkrivena je u fabrički instaliranim Windows operativnim sistemima na Lenovo uređajima, gdje pisiva datoteka u direktoriju Windows omogućava napadačima da zaobiđu Microsoftov sigurnosni okvir AppLocker.
Ovaj problem pogađa sve varijante Lenovo računara koji koriste podrazumijevane Windows instalacije i ima ozbiljne implikacije za sigurnost u korporativnim okruženjima.
Ranjivost se fokusira na datoteku MFGSTAT.zip koja se nalazi u direktoriju C:\Windows\, a koja ima netačne dozvole pristupa, dozvoljavajući svakom autentifikovanom korisniku da piše i izvršava sadržaj sa te lokacije.
Ovakva konfiguracija stvara kritičnu sigurnosnu rupu u okruženjima gdje su primijenjena podrazumijevana pravila AppLockera, jer ta pravila obično dozvoljavaju izvršavanje iz bilo koje lokacije unutar strukture mapa Windowsa.
Tehnika eksploatacije koristi alternativne podatkovne tokove (ADS), manje poznatu NTFS funkcionalnost koja napadačima omogućava sakrivanje izvršnog sadržaja unutar naizgled bezopasnih datoteka.
Oddvar Moe iz TrustedSec-a demonstrirao je napad ugrađivanjem uslužnog programa autoruns.exe iz Microsoft Sysinternalsa u ranjivu zip datoteku koristeći sljedeći niz komandi.
Nakon ubacivanja podatkovnog toka, zlonamjerni teret se može izvršiti koristeći legitimni učitavač aplikacija Microsoft Office.
Ova tehnika “Living Off The Land Binary” (LOLBin) iskorištava povjerljive Windows procese za izvršavanje neovlaštenog koda, istovremeno izbjegavajući tradicionalne sisteme za nadzor sigurnosti.
Ovaj vektor napada je posebno zabrinjavajući jer koristi legitimne sistemske komponente, što znatno otežava otkrivanje napada od strane sigurnosnih timova.
Ranjivost je prvobitno otkrivena 2019. godine tokom rutinskih sigurnosnih procjena, ali je ostala neotklonjena do Moeovog nedavnog ponovnog istraživanja 2025. godine.
Nakon potvrde postojanosti problema na više generacija Lenovo uređaja, istraživač je kontaktirao Lenovo tim za odgovor na sigurnosne incidente proizvoda (PSIRT).
Lenovo je naveo da neće izdati softversku zakrpu, već će pružiti smjernice za sanaciju.
Organizacije mogu implementirati trenutnu sanaciju kroz nekoliko metoda. Najjednostavniji pristup uključuje uklanjanje ranjive datoteke pomoću PowerShell-a.
Alternativno, administratori mogu koristiti komandni redak (Command Prompt) sa zastavicom za skriveni atribut datoteke.
Korporativna okruženja bi trebala iskoristiti Group Policy Preferences, System Center Configuration Manager (SCCM) ili slične alate za upravljanje kako bi osigurali sistematsko uklanjanje na svim zahvaćenim sistemima.
Ovaj incident naglašava ključni značaj sveobuhvatnog nadzora datotečnog sistema prilikom implementacije AppLockera, jer čak i manji propusti mogu stvoriti značajne sigurnosne ranjivosti koje zaobilaze fundamentalne kontrole pristupa.
Ovo upozorenje je objavljeno na internet stranici Cybersecurity News, gdje se detaljno opisuje ranjivost i tehnika eksploatacije. Metodologija napada, koja koristi skrivene datoteke i legitimne procese, omogućava napadačima da zaobiđu sigurnosne mjere poput AppLockera na Lenovo računarima. Iako se ne navode konkretni nedavni incidenti direktno povezani sa ovom specifičnom ranjivošću, ona ilustruje opšti trend u sajber napadima gdje se iskorištavaju neobične konfiguracije sistema i manje poznate funkcionalnosti kako bi se postigao neovlašteni pristup. Napadači ovu ranjivost mogu iskoristiti kako bi pokrenuli zlonamjerni softver ili izvršili druge štetne radnje, a sve to krijući se iza legitimnih sistemskih procesa, što otežava otkrivanje. Upozorenje je informativno i činjenično, jasno objašnjava tehničke aspekte na razumljiv način i poziva na oprez bez izazivanja panike.