Značajna sigurnosna ranjivost otkrivena je u predinstaliranim Windows operativnim sistemima na Lenovo računarima, omogućavajući napadačima da zaobiđu Microsoftov sigurnosni okvir AppLocker putem pisatelne datoteke u Windows direktorijumu.
Ovaj propust utječe na sve modele Lenovo računara koji koriste standardne Windows instalacije i predstavlja ozbiljne implikacije za sigurnost u korporativnim okruženjima.
Problem se fokusira na datoteku MFGSTAT.zip, smještenu u direktorijumu C:\Windows\. Neispravna dopuštenja za ovu datoteku omogućavaju svakom ovlaštenom korisniku da u nju upisuje i izvršava sadržaj.
Ovakva konfiguracija stvara kritičan sigurnosni jaz u okruženjima gdje su implementirana standardna AppLocker pravila, jer ta pravila obično dopuštaju izvršavanje iz bilo koje lokacije unutar strukture Windows direktorijuma.
Metodologija iskorištavanja oslanja se na Alternate Data Streams (ADS), manje poznatu NTFS funkciju koja napadačima omogućava sakrivanje izvršnog sadržaja unutar naizgled bezopasnih datoteka.
Oddvar Moe iz TrustedSec-a demonstrirao je napad ugrađivanjem uslužnog programa autoruns.exe iz Microsoft Sysinternals u ranjivu zip datoteku koristeći specifičnu sekvencu komandi.
Nakon umetanja podatkovnog toka, zlonamjerni teret se može izvršiti pomoću legitimnog programa za učitavanje aplikacija Microsoft Officea.
Ova tehnika “Living Off The Land Binary” (LOLBin) iskorištava povjerljive Windows procese za izvršavanje neovlaštenog koda, istovremeno izbjegavajući tradicionalne sisteme za nadzor sigurnosti.
Ovaj vektor napada posebno je zabrinjavajući jer koristi legitimne sistemske komponente, što značajno otežava otkrivanje od strane sigurnosnih timova.
Ranjivost je prvobitno otkrivena 2019. godine tokom rutinskih sigurnosnih procjena, ali je ostala neotklonjena do Moeovog nedavnog ponovnog istraživanja 2025. godine.
Nakon potvrde postojanosti problema na više generacija Lenovo uređaja, istraživač je kontaktirao Lenovo tim za odgovor na sigurnosne incidente (PSIRT).
Lenovo je odgovorio da neće izdati softversku zakrpu, već će umjesto toga pružiti smjernice za ublažavanje problema.
Organizacije mogu implementirati trenutno ublažavanje putem nekoliko metoda. Najjednostavniji pristup uključuje brisanje ranjive datoteke korištenjem PowerShell komande.
Alternativno, administratori mogu koristiti Komandnu liniju (Command Prompt) sa zastavicom za skrivene datoteke.
Korporativna okruženja bi trebala koristiti Group Policy Preferences, System Center Configuration Manager (SCCM) ili slične alate za upravljanje kako bi osigurali sistematsko uklanjanje na svim pogođenim sistemima.
Ovaj incident naglašava ključnu važnost sveobuhvatnog nadzora sistema datoteka prilikom implementacije AppLocker rješenja, jer čak i manji propusti mogu stvoriti značajne sigurnosne ranjivosti koje zaobilaze temeljne kontrole pristupa.
