Lenovo’nun Dispatcher sürücülerindeki kritik bir güvenlik açığı, araştırmacıların etkilenen Windows sistemlerinde ayrıcalık artışını gösteren bir kavram kanıtı istismarı yayınlamasının ardından mercek altına alındı.
CVE-2025-8061 olarak tanımlanan bu kusur, sürücülerdeki yetersiz erişim denetimlerinden kaynaklanıyor ve potansiyel olarak yerel saldırganların yükseltilmiş ayrıcalıklarla rastgele kod yürütmesine olanak tanıyor.
Güvenlik firması Quarkslab tarafından keşfedilen sorun, eski sürücü sürümlerini çalıştıran Lenovo tüketici dizüstü bilgisayarlarını etkiliyor ve en son yamaları uygulamamış kullanıcılar için alarmlara neden oluyor.
Güvenlik Açığı Dağılımı
Lenovo Dispatcher sürücüleri, sürüm 3.0 ve 3.1, belirli tüketici dizüstü bilgisayarlarındaki sistem işlemlerini yönetir, ancak uygun erişim kısıtlamaları olmadan bir IOCTL arayüzünü açığa çıkarırlar.
CWE-782 altında sınıflandırılan bu gözetim, kimliği doğrulanmış bir yerel kullanıcının sürücüyü yönetmesine ve çekirdek modunda kod yürütmeyi tetiklemesine olanak tanıyarak tüm sistemin tehlikeye girmesine yol açar.
Ulusal Güvenlik Açığı Veri Tabanı, yerel erişim ve yüksek saldırı karmaşıklığı gerektirmesine rağmen gizlilik, bütünlük ve kullanılabilirlik üzerindeki yüksek etkileri gerekçe göstererek CVSS 4.0 puanı 7,3 ile derecelendiriyor.
Etkilenen sistemler arasında LnvMSRIO.sys sürücüsünün 3.1.0.36 sürümüne kadar olduğu sistemler yer alıyor; bu sürücü, genellikle Windows 10 veya daha eski Windows 11 yapılarıyla önceden yüklenmiş Lenovo dizüstü bilgisayarlarda, varsayılan azaltımlar olmadan bulunur.
Lenovo, kusuru Eylül 2025’te yayımlanan 3.1.0.41 sürümünde düzelttiğinden, daha yeni Lenovo Dispatcher 3.2 ve üzeri bu durumdan etkilenmemektedir.
Daha da önemlisi, Windows Çekirdek Yalıtım Bellek Bütünlüğünün etkinleştirilmesi, Windows 11 Lenovo sistemlerinde varsayılan olarak etkin olan bir özellik olan kötüye kullanımı engeller ve güncellenen kullanıcılar için gerçek dünya risklerini azaltır.
| Bakış açısı | Detaylar |
|---|---|
| Etkilenen Ürünler | Tüketici dizüstü bilgisayarlarında Lenovo Dispatcher Driver 3.0, 3.1 (LnvMSRIO.sys, 3.1.0.36’ya kadar) |
| Etki Değerlendirmesi | Çekirdek moduna yerel ayrıcalık yükseltme, potansiyel tam sistem kontrolü |
| Kullanım Önkoşulları | Kimliği doğrulanmış yerel kullanıcı erişimi; Çekirdek İzolasyonu devre dışı; belirli Windows yapısı (örneğin, HVCI olmadan 24H2) |
| CVSS 3.1 Puanı | Yok (CVSS 4.0: 7.3 – Yüksek) |
Sömürü Eylem Halinde
Quarkslab’dan güvenlik araştırmacısı Luis Casvella, Eylül 2025 tarihli bir blog gönderisinde bu istismarın ayrıntılarını vererek, saldırganların LSTAR kaydı (MSR 0xC0000082) aracılığıyla KiSystemCall64 gibi çekirdek adreslerini sızdırmak için sürücünün MSR okuma ilkelinden nasıl yararlanabileceğini vurguladı.
Bu bilgi, SİSTEM sürecini taklit etmek amacıyla token hırsızlığına yönelik kabuk kodunu gösteren PoC ile ASLR ve SMEP korumalarının atlanmasına olanak tanır.
Symeonp tarafından sağlanan bir takip GitHub deposu, Windows 11 24H2 üzerinde bir SYSTEM kabuğu oluşturan, 26100.1 derlemesi için sabit kodlanmış, 0x6b2b40’ta KiSystemCall64 ve SMEP’i (bit 20) devre dışı bırakmak için CR4 manipülasyonu gibi uzaklıklar için ayarlamalar gerektiren çalışan bir PoC sağlar.
Teknik, sistem çağrılarını bulmak için MSR’leri okumayı, belirteç manipülasyonu için _KPCR ve _EPROCESS gibi çekirdek yapılarında gezinen kabuk kodunu enjekte etmeyi ve çökmeleri önlemek için CR4 ve LSTAR gibi kayıtları geri yüklemeyi içerir.
Casvella’nın analizi sürücüde ilgili dört hataya dikkat çekiyor ve imzalı sürücülerin istismar sonrası DSE’den kaçtığı BYOVD taktiklerini vurguluyor.
Herhangi bir aşırı istismar rapor edilmese de, halka açık PoC, yama yapılmamış Lenovo cihazlarını hedef alan kırmızı ekip üyeleri veya kötü amaçlı yazılım yazarları için uyum kolaylığının altını çiziyor.
Lenovo, boşluğu kapatmak için Windows Update veya destek sitesi aracılığıyla Dispatcher Driver 3.1.0.41 veya sonraki sürümlerine derhal güncelleme yapılması çağrısında bulunuyor.
Ek koruma için kullanıcıların, Cihaz Güvenliği altında Windows Güvenliği’nde Çekirdek Yalıtımını doğrulaması, Bellek Bütünlüğünü açması, eğer devre dışıysa, modern donanımda performans düşüşü olmadan çekirdek istismarlarını engellemesi gerekir.
Kuruluşlar, AhnLab’ın araçları gibi araçları kullanarak savunmasız sürücüleri taramalı veya uç noktalardaki IOCTL anormalliklerini izlemelidir.
Açıklama zaman çizelgesi, Quarkslab’ın Haziran 2025’ten bu yana Lenovo ile koordineli çabalarını ortaya koyuyor ve gecikmelere rağmen yamalarla sonuçlanıyor.
BYOVD, gelişmiş tehditlerin temelini oluşturduğu için bu olay, kurumsal ortamlarda dikkatli sürücü yönetimi ihtiyacını vurguluyor. PoC artık halka açık olduğundan, gerçek saldırılarda ayrıcalık yükseltme zincirlerine karşı korunmak için hızlı eylem şarttır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
