Yeni açıklanan CVE-2025-6230, CVE-2025-6231 ve CVE-2025-6232 üçlüsü, tek bir güvenilir OEM yardımcısının tam makine uzlaşması için nasıl bir sıçrama tahtası haline gelebileceğini vurgulamaktadır.
Çoğu modern ThinkPad ve ThinkBook dizüstü bilgisayarlarında varsayılan olarak gönderilen Lenovo Vantage, NT Otorite \ Sistem ve güncelleme, donanım kontrol ve telemetri özelliklerini ortaya çıkarmak için dinamik olarak C# eklentileri yükler.
Bu eklentilerin ayrıcalıklı hizmetle tescilli bir JSON-RPC protokolü aracılığıyla konuşması beklendiğinden, giriş doğrulama veya yol taşımasındaki herhangi bir kusur, yerel rakipler için saldırı yüzeyini anında genişletir.
Lenovo 8 Temmuz’da yamalar yayınladı, ancak açılmamış uç noktalar, Windows uç noktalarının tam kontrolünü sağlayan tek tıklamayla ayrıcalık artışına duyarlı kalıyor.
Bir saldırganın yolculuğu, Vantage’ın imza tabanlı müşteri kimlik doğrulamasını atlayarak başlar.
Hizmet, yalnızca bağlantı işleminin bir Lenovo dijital imzası taşımadığını kontrol eder, bu da meşru imzalı bir ikili olarak kolayca yenilen bir kontrol gibi bir kontrol Fnhotkeywidget.exe yazılabilir bir klasöre ve kötü niyetli bir Profapi.dll yanında.
Güvenilir yürütülebilir, kaçırılan DLL’yi yüklediğinde, düşman lenovo imzalı bir bağlamda kod yürütme kazanır ve RPC arayüzüne özgürce konuşabilir.
Atredis analistleri, bu tek zayıflığın kalan RPC saldırı yüzeyini yönetici hakları olmadan tamamen ulaşılabilir hale getirdiğini belirtti.
.webp)
Bu mimari, her ayrıcalıklı eklentinin, merkezi hizmetin körü körüne yol açtığı sözleşmeyi nasıl sözleşmediğini göstermektedir.
| CVE kimliği | Savunmasız bileşen / eklenti | Kök Neden ve Kısa Teknik Açıklama | Saldırı Önkoşulları / İstismar Tekniği | Kazanılan ve Sıkıştırma Sonrası Etkisi ayrıcalık | Yamalı versiyon |
|---|---|---|---|---|---|
| CVE-2025-6230 | VantageCoreaddin Servis İşleyicileri | Tapınmamış localSetting.Component Değer içeride SQL olarak birleştirilir DeleteTable & & DeleteSetting; Sqlite’de mümkün olan istiflenmiş sorgular ATTACH DATABASE Diskte keyfi dosyaların üzerine yazmak için |
Vantage JSON-RPC borusuyla konuşabilen herhangi bir düzensiz işlem (Lenovo imzalı yardımcısının DLL kaçırma ile baypas imzası kontrolü) SQL enjeksiyonu yürütmek için hazırlanmış yükü gönderir | Rasgele Dosya Sistem Olarak Yazma → Bir sonraki ayrıcalıklı yükte yükü yürüterek tam sistem kabuğunu verir | VantageCoreaddin ≥ 1.0.0.199 |
| CVE-2025-6231 | LenovosystemupDataaddin | Yoldan çıkar AppID Güvenilir dizinin dışında tezahür yolunu oluşturur Ve Toctou Race, saldırganın imza doğrulamasından sonra bir sembolü değiştirmesine izin verir, ancak ikinci okumadan önce güvenilmeyen yükleyici tezahürü yüklemeden önce |
Zanaat Do-DownloadAndInstallAppComponent İle RPC isteği AppID=\"..\\..\\..\\..\\boo2\\MLeno\" ve manifest okumasını yarışmak için Baitandswitch’ten yararlanın; Kötü niyetli XML daha sonra yükleyiciyi saldırgan kontrollü parametrelerle çalıştırır |
Seçilen yükleyici yönetici veya sistem bağlamında çalışır; Saldırgan bayrakları veya çevre ayarlarını sistem olarak keyfi kodu ortaya çıkarmaya ekler | LenovosystemupDataTeaddin ≥ 1.0.24.32 |
| CVE-2025-6232 | VantageCoreaddin Set-KeyChildren |
İzin listesi yalnızca “HKCU \ Software \ Lenovo” alt çizgisini kontrol eder; Saldırgan Gibi Yolu HKLM\\...\\Battery1\\HKCU\\SOFTWARE\\LenovoFiltreyi geçer ve HKLM’de Wribable Lenovo Güç Yönetimi Anahtarlarını hedefler |
Wribable HKLM tuşunda DACL’yi değiştirin, sahte HKCU yolunu yansıtan alt anahtar oluşturun, ardından gerçek HKLM hizmet yoluna NT Kayıt Defteri SymLink ekleyin; Sonraki RPC yazma dönemi ImagePath saldırgan ikili hizmetinin |
Servis Yeniden Başlat veya Yeniden Başlat Saldırgan ikili olarak sistem olarak yürütür ve kalıcı tam kontrol sağlar | VantageCoreaddin ≥ 1.0.0.199 |
En kritik sözleşme, VantageCoreaddinşu adreste depolanan yapılandırma veritabanına dokunan bir çift klasik SQL enjeksiyonel ilkesi içerir C:\ProgramData\Lenovo\Vantage\Settings\LocalSettings.db.
İçindeki bileşen adından beri DeleteTable Ve DeleteSetting İşleyiciler doğrudan bir DROP TABLE veya DELETE FROM Beyan, istiflenmiş sorgular mümkündür, SQLite’s tarafından oluşturulan bir düşman üzerine rasgele dosyaların üzerine yazılmasına izin verir ATTACH DATABASE özellik:-
string cmd = $"drop table {localSetting.Component}";
sqliteCommand.CommandText = cmd;
sqliteCommand.ExecuteNonQuery(); // CVE-2025-6230Sistem düzeyinde erişim için kayıt defterinin yanlış değerlendirilmesini kullanma
CVE-2025-6232, darbe de Grâce sunar. . Set-KeyChildren komut yazıları kısıtlıyormuş gibi yapıyor HKCU\SOFTWARE\Lenovoancak beyaz liste kontrolü sadece alt çizimi arar ve gibi hazırlanmış bir yola izin verir HKLM\SOFTWARE\WOW6432Node\Lenovo\PWRMGRV\ConfKeys\Data\Battery1\HKCU\SOFTWARE\Lenovo.
Bu konumun altındaki birkaç Lenovo Güç Yönetimi Anahtarı FullControl Girişli herhangi bir kullanıcı için, ayrıcalıksız bir kovana kadar yazılabilir bir köprü sağlayan.
PowerShell ile kalıtsal ACL’ler eklendikten sonra, saldırgan sahte HKCU yolunu gerçek HKLM şubesiyle eşleştiren bir kayıt defteri sembolik bağlantı oluşturur:-
RegCreateKeyEx(HKEY_LOCAL_MACHINE,
L"SOFTWARE\\...\\Battery1\\HKCU\\SOFTWARE\\Lenovo\\Test",
0, nullptr, REG_OPTION_CREATE_LINK, KEY_WRITE, nullptr, &hKey, nullptr);
RegSetValueEx(hKey, L"SymbolicLinkValue", 0, REG_LINK,
(BYTE*)L"\\REGISTRY\\MACHINE\\SOFTWARE\\Lenovo",
wcslen(L"\\REGISTRY\\MACHINE\\SOFTWARE\\Lenovo") * sizeof(WCHAR)); // CVE-2025-6232Sonraki RPC, gerçek HKLM servis anahtarlarını sessizce değiştirir; işaret ImagePath Saldırgan kontrollü ikili dosyalara, yeniden başlatma veya hizmet yeniden başlatmasında anında sistem yürütme sağlar.
Windows’un SymLink Azaltılması doğrudan HKCU → HKLM bağlantılarını yasakladığından, Lenovo’nun yanlış bakan anahtarlarından yararlanarak bariyeri zarif bir şekilde kaldırır.
Lenovo’nun Temmuz güncellemesi eklentilerini yükseltmesine rağmen VantageCoreaddin 1.0.0.199 Ve LenovosystemupDataTeaddin 1.0.24.32güvenlik ekipleri yamayı acil olarak zorlamalı, istismar için kayıt defteri ACL’lerini denetlemeli ve Vantage’ı tamamen sertleştirilmiş ortamlarda kaldırmayı veya kısıtlamayı düşünmelidir.
O zamana kadar, diske inebilen herhangi bir emtia kötü amaçlı yazılım, neredeyse hiç kullanıcı etkileşimi olmadan en yüksek ayrıcalıklara ulaşmak için bu kusurları zincirleyebilir-güvenilir bloatware’in genellikle kurumsal dereceli arka planları düz bir şekilde gizlediğini hatırlatır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi