Značajna sigurnosna ranjivost otkrivena je u predinstaliranim Windows operativnim sistemima kompanije Lenovo, gdje upisna datoteka u direktoriju Windows omogućava napadačima da zaobiđu AppLocker sigurnosni okvir Microsofta. Ova se poteškoća odnosi na sve varijante Lenovo računara sa podrazumijevanim instalacijama Windowsa i predstavlja ozbiljne implikacije za sigurnost u korporativnim okruženjima. Srž ranjivosti leži u datoteci MFGSTAT.zip, smještenoj u C:\Windows\ direktorijumu, koja posjeduje neispravne dozvole datoteka, dopuštajući svakom ovlaštenom korisniku pisanje i izvršavanje sadržaja sa te lokacije.
Ova konfiguracija stvara kritičnu sigurnosnu rupu u okruženjima gdje se primjenjuju zadane AppLocker pravila, jer ta pravila obično dopuštaju izvršavanje iz bilo koje lokacije unutar strukture Windows foldere.
Tehnika eksploatacije koristi Alternativne podatkovne tokove (ADS). Alternativni podatkovni tokovi su manje poznata NTFS značajka koja napadačima dopušta sakrivanje izvršnog sadržaja unutar naizgled bezopasnih datoteka. Oddvar Moe iz TrustedSec-a demonstrirao je napad ugrađivanjem uslužnog programa autoruns.exe iz Microsoft Sysinternals u ranjivu zip datoteku koristeći sljedeći niz naredbi. Nakon ubrizgavanja podatkovnog toka, zlonamjerni teret se može izvršiti koristeći legitimni učitavač aplikacija Microsoft Officea. Ova “Living Off The Land Binary” (LOLBin) tehnika iskorištava povjerene Windows procese za izvršavanje neovlaštenog koda, izbjegavajući pritom tradicionalne sisteme sigurnosnog nadzora.
Ovaj vektor napada je posebno zabrinjavajući jer koristi legitimne sistemske komponente, što znatno otežava detekciju za sigurnosne timove. Ranljivost je prvobitno otkrivena 2019. godine tokom rutinskih sigurnosnih procjena, ali je ostala neriješena do Moeove nedavne ponovne istrage 2025. godine. Nakon potvrđivanja upornosti problema na više generacija Lenovo uređaja, istraživač je kontaktirao Lenovoov tim za odgovor na sigurnosne incidente (PSIRT). Lenovoov odgovor sugerira da neće objaviti softverski flaster, već će umjesto toga pružiti smjernice za sanaciju.
Organizacije mogu implementirati hitnu sanaciju putem nekoliko metoda. Najjednostavniji pristup uključuje uklanjanje ranjive datoteke koristeći PowerShell. Alternativno, administratori mogu koristiti Naredbeni redak s opcijom za skrivene datoteke. Korporativna okruženja trebaju iskoristiti Group Policy Preferences, System Center Configuration Manager (SCCM) ili slične alate za upravljanje kako bi osigurali sistematsko uklanjanje na svim pogođenim sistemima. Ovaj incident naglašava ključnu važnost sveobuhvatnog audita sistema datoteka prilikom implementacije AppLockera, jer čak i manji propusti mogu stvoriti značajne sigurnosne ranjivosti koje zaobilaze osnovne kontrole pristupa.
