Značajna sigurnosna ranjivost otkrivena je u predinstaliranim Windows operativnim sistemima na Lenovo računarima, omogućavajući napadačima da zaobiđu sigurnosni okvir AppLocker kompanije Microsoft zahvaljujući pisivoj datoteci u sistemskoj mapi Windows.
Ovaj propust pogađa sve modele Lenovo računara koji koriste fabrička izdanja Windowsa i predstavlja ozbiljan rizik za sigurnost u korporativnim okruženjima.
Srž ranjivosti leži u datoteci MFGSTAT.zip, smještenoj u direktorijumu C:\Windows\. Nepravilne dozvole za ovu datoteku omogućavaju svakom ovlaštenom korisniku upisivanje i izvršavanje sadržaja na toj lokaciji.
Ova konfiguracija stvara kritičnu sigurnosnu rupu u okruženjima gdje se primjenjuju zadane AppLocker pravila, jer ona obično dopuštaju izvršavanje iz bilo kojeg dijela strukture mapa Windowsa.
Tehnika eksploatacije koristi Alternativne podatkovne tokove (ADS), manje poznatu NTFS značajku koja napadačima omogućava skrivanje izvršnog sadržaja unutar naizgled bezopasnih datoteka.
Oddvar Moe iz kompanije TrustedSec demonstrirao je napad ugradnjom uslužnog programa autoruns.exe iz Microsoft Sysinternals paketa u ranjivu zip datoteku slijedećim nizom naredbi.
Nakon ubacivanja podatkovnog toka, zlonamjerni kod se može izvršiti koristeći legitimni pokretač aplikacija Microsoft Officea.
Ova “Living Off The Land Binary” (LOLBin) tehnika iskorištava pouzdane Windows procese za izvršavanje neovlaštenog koda, čime izbjegava tradicionalne sigurnosne sisteme za nadzor.
Vektor napada je posebno zabrinjavajuć jer koristi legitimne sistemske komponente, što znatno otežava otkrivanje od strane sigurnosnih timova.
Ranjivost je prvobitno otkrivena 2019. godine tokom rutinskih sigurnosnih procjena, ali je ostala neotklonjena do Moeovog nedavnog ponovnog istraživanja 2025. godine.
Nakon potvrde postojanja problema na više generacija Lenovo uređaja, istraživač je kontaktirao Lenovoov tim za odgovor na sigurnosne incidente (PSIRT).
Lenovo je naznačio da neće objaviti softverski zakrp, već će umjesto toga pružiti smjernice za otklanjanje problema.
Organizacije mogu primijeniti trenutna rješenja putem nekoliko metoda. Najjednostavniji pristup uključuje uklanjanje ranjive datoteke pomoću PowerShell-a.
Alternativno, administratori mogu koristiti Naredbeni redak (Command Prompt) sa zastavicom za skriveni atribut datoteke.
Korporativna okruženja bi trebala koristiti Group Policy Preferences, System Center Configuration Manager (SCCM) ili slične alate za upravljanje kako bi osigurali sistematsko uklanjanje na svim pogođenim sistemima.
Ovaj incident naglašava ključnu važnost sveobuhvatnog audita sistema datoteka prilikom implementacije AppLockera, jer čak i najmanji propusti mogu stvoriti značajne sigurnosne ranjivosti koje zaobilaze osnovne kontrole pristupa.
