Atredis’teki güvenlik araştırmacıları, Lenovo dizüstü bilgisayarlara cihaz güncellemelerini, konfigürasyonları ve sistem sağlığı izlemesini işleyen önceden yüklenmiş bir yönetim platformu olan Lenovo Vantage’da birden fazla ayrıcalık artış güvenlik açıklarını ortaya çıkardılar.
CVES 2025-6230, 2025-6231 ve 2025-6232 kapsamında izlenen bu kusurlar, olgunlaşmamış kullanıcıların kimlik doğrulama mekanizmalarını atlamasına ve kod kodu yürütmesine izin verir ve potansiyel olarak tam sistem uzlaşmasına yol açar.
Lenovo, 8 Temmuz 2025’te danışma Len-196648’in bir parçası olarak, tanımlanan tüm sorunları ele alan yamaları yayınladı.
Lenovo Vantage kusuru
Güvenlik açıkları, Lenovo Vantage’ın RPC uç noktaları aracılığıyla C#yazılmış takılabilir eklentilerle iletişim kuran merkezi bir sistem özelliğine sahip modüler mimarisinden kaynaklanmaktadır.
Bu tasarım, xml dosyalarında tanımlanan eklentilere yönlendirilen JSON tabanlı istekleri %programData %\ lenovo \ vantage \ addsins, yürütme bağlamlarının değiştiği, beş eklentinin yükseltilmesi ile ortaya çıkarır.
Kimlik doğrulama, Dell ve ASUS gibi satıcılarda görülen ortak ancak bayat bir kontrol olan istemci süreçlerinin dijital imza doğrulamasına dayanır.
Saldırganlar, fnhotkeywidget.exe gibi imzalı bir Lenovo ikilisini, yazılabilir bir dizinde DLL arama sırası kaçırma yoluyla, RPC arabirimlerine erişmek için bir profapi.dll yükü gibi kod enjekte ederek kullanabilir.
Özelliklere giren CVE-2025-6230, VantageCoReaddin’de C: \ ProgramData \ Lenovo \ vantage \ settings \ localsettings.db’deki temel sistem işlevlerini ve depolama ayarlarını yöneten SQL enjeksiyon kusurlarını içerir.
Deletable ve Seleteseting gibi komutlar, .NET SQLite kütüphanesi tarafından desteklenen istiflenmiş sorgular yoluyla keyfi SQL yürütülmesini sağlayan “bileşen” alanını sterilize edemez.
Sömürü teknikleri
Doğrudan kod yürütme, kullanıcı tanımlı işlevler nedeniyle sınırlı olsa da, saldırganlar kontrollü içeriğe sahip dosyalar oluşturabilir ve daha fazla yükseltmeyi kolaylaştırabilir.
CVE-2025-6232, set-anahtarlı komutunda HKCU \ Software \ Lenovo ile kısıtlamayı amaçlayan ancak indexof kontrolleri yoluyla alt çizme eşleşmesine karşı savunmasız olan kusurlu bir kayıt defteri beyaz listesini kullanır.
HKLM \ Software \ Lenovo \ HKCU \ Software \ Lenovo gibi yollar hazırlayarak ve yazılabilir Lenovo-Spesifik HKLM anahtarlarından yararlanarak \ wow6432Node \ Lenovo \ Pwrmgrv \ Confkeys \ data), rakipler miras için değiştirebilir ve regcrKeKex kullanabilir ve regcrKeKex kullanabilir ve simbolik bağlantılar oluşturabilir, Yönlendirme ayrıcalıklı alanlara yazıyor.
Bu, servis görüntü yollarıyla kurcalanmayı sağlar ve keyfi ikili dosyaların hizmet başlangıcında yükseltilmesine izin verir.
CVE-2025-6231, DO-DOWSloadandInstallAppComponent komutunun kurulum eylemi sırasında LenovosystemupDataTeaddin’deki yol geçişini ve kullanım süresini (Toctou) birleştirir.
Rapora göre, tasarlanmamış appid alanları, Saldırgan kontrollü yollardan yüklemleri yüklemeye izin verirken, imza kontrolleri için xmlfilevalidator kullanılarak atomik olmayan doğrulama, ardından File.ReadallText, SymLink Swaps’ı Baitandswitch gibi araçlar aracılığıyla SymLink Swaps’a izin verir.
Bu, güvenilmeyen tezahürleri yükler, yönetici veya sistem bağlamları için yükleyici parametreleri üzerinde kontrol sağlar, örneğin PowerShell tarafından başlatılan süreçlere enjekte etmek veya bazı akışlarda UAC bypass gereksinimleri olmadan yüksek yürütme için MSI ve Inno kurulumları gibi yükleyicileri kaldırma gibi.
Mitigate için kullanıcılar güncellemeleri doğrulamalıdır: VantageCoreaddin – 1.0.0.199 veya daha sonra sürüm – LenovosystemupDataTeaddin – 1.0.24.32 veya daha yüksek, 10.2501.20.0 ve Lenovo Ticari Vantage 20.2506.39.0’a kadar.
Bunlar eklenti XML dosyalarında kontrol edilebilir veya yollar yüklenebilir. Bulgular, satıcı yazılımlarındaki imza tabanlı Auth’a dayanan riskleri vurgulamakta ve ayrıcalıklı hizmetlerde atom operasyonları, girdi dezenfekârlığı ve daha katı yol doğrulamaları ihtiyacının altını çizmektedir.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.