Site icon Kiber.ba

Lenovo: U Lenovo direktorijumu za Windows pronađena datoteka koja omogućava prikriveno zaobilaženje AppLockera, budite oprezni

Uočena je značajna sigurnosna ranjivost u unaprijed instaliranim operativnim sistemima Windows na Lenovo uređajima. Problem se sastoji u tome što zapisiva datoteka u direktorijumu Windows omogućava napadačima da zaobiđu sigurnosni okvir AppLocker kompanije Microsoft.

Ova ranjivost pogađa sve modele Lenovo računara koji koriste podrazumijevane instalacije operativnog sistema Windows i predstavlja ozbiljne implikacije za sigurnost u korporativnim okruženjima.

Srž problema leži u datoteci MFGSTAT.zip koja se nalazi u direktorijumu C:\Windows\. Ova datoteka ima neispravne dozvole pristupa, što omogućava bilo kojem ovlaštenom korisniku da zapisuje sadržaj u nju i pokreće ga odatle.

Ova konfiguracija stvara kritičnu sigurnosnu rupu u okruženjima gdje se primjenjuju standardna pravila AppLockera, budući da ta pravila obično dozvoljavaju izvršavanje programa iz bilo kojeg dijela strukture direktorijuma Windows.

**Tehnika iskorištavanja koristi alternativne podatkovne tokove (ADS)**

Tehnika iskorištavanja koristi alternativne podatkovne tokove (ADS), manje poznatu NTFS funkciju koja omogućava napadačima da sakriju izvršni sadržaj unutar naizgled bezopasnih datoteka.

Oddvar Moe iz kompanije TrustedSec demonstrirao je napad ugrađivanjem uslužnog programa autoruns.exe iz Microsoft Sysinternalsa u ranjivu zip datoteku koristeći sljedeći niz komandi:

Nakon ubacivanja podatkovnog toka, zlonamjerni teret se može izvršiti koristeći legitimni pokretač aplikacija Microsoft Officea.

Ova metoda “Living Off The Land Binary” (LOLBin) iskorištava pouzdane Windows procese za izvršavanje neovlaštenog koda, istovremeno izbjegavajući tradicionalne sisteme nadzora sigurnosti.

Ovaj vektor napada je posebno zabrinjavajući jer koristi legitimne sistemske komponente, čime značajno otežava otkrivanje od strane sigurnosnih timova.

Ranjivost je prvobitno otkrivena 2019. godine tokom rutinskih sigurnosnih procjena, ali je ostala neriješena do Moeovog nedavnog ponovnog istraživanja 2025. godine.

Nakon potvrde postojanja problema na više generacija Lenovo uređaja, istraživač je kontaktirao Lenovoov tim za odgovor na sigurnosne incidente (PSIRT).

Lenovo je odgovorio da neće izdati softversku zakrpu; umjesto toga, pružit će smjernice za rješavanje problema.

**Strategije ublažavanja**

Organizacije mogu primijeniti hitne mjere putem nekoliko metoda. Najjednostavniji pristup uključuje uklanjanje ranjive datoteke pomoću PowerShell-a:

Alternativno, administratori mogu koristiti Komandni redak (Command Prompt) sa zastavicom za skriveni atribut datoteke.

Korporativna okruženja bi trebala koristiti Group Policy Preferences, System Center Configuration Manager (SCCM) ili slične alate za upravljanje kako bi osigurali sistematsko uklanjanje na svim pogođenim sistemima.

Ovaj incident naglašava ključni značaj sveobuhvatnog nadzora sistema datoteka prilikom implementacije AppLockera, jer čak i manji propusti mogu stvoriti značajne sigurnosne ranjivosti koje zaobilaze osnovne kontrole pristupa.

Exit mobile version