Lenovo’nun ön yüklü Windows işletim sistemlerinde, Windows dizinindeki yazılabilir bir dosyanın saldırganların Microsoft’un Applocker güvenlik çerçevesini atlamasını sağladığı önemli bir güvenlik açığı keşfedilmiştir.
Sorun, varsayılan Windows kurulumlarını çalıştıran Lenovo makinelerinin tüm varyantlarını etkiler ve kurumsal güvenlik ortamları için ciddi sonuçlar doğurur.
Güvenlik açığı, C: \ Windows \ dizininde bulunan MFGSTAT.ZIP dosyasının çevresinde, kimlik doğrulamalı kullanıcıların bu konumdan içerik yazmasına ve yürütmesine izin veren yanlış dosya izinlerine sahip.
Key Takeaways
1. Writable MFGSTAT.zip file in Lenovo's Windows directory bypasses AppLocker security due to incorrect permissions.
2. Uses Alternate Data Streams to hide executables in the zip file, then runs them via legitimate Windows processes.
3. Affects all Lenovo machines with preloaded Windows, discovered in 2019 but still present in 2025.
4. Delete the file using PowerShell command or enterprise management tools - no patch available.
Bu yapılandırma, Applocker varsayılan kurallarının dağıtıldığı ortamlarda kritik bir güvenlik açığı oluşturur, çünkü bu kurallar genellikle Windows klasör yapısındaki herhangi bir konumdan yürütülmeye izin verir.
Sömürü tekniği alternatif veri akışlarından (reklamlar) yararlanır
Sökülme tekniği, saldırganların görünüşte iyi huylu dosyalarda yürütülebilir içeriği gizlemesine izin veren daha az bilinen bir NTFS özelliği olan alternatif veri akışlarından (ADS) yararlanır.
TrustedSec’ten Oddvar Moe, Autoruns.exe yardımcı programını Microsoft Sysinternals’tan aşağıdaki komut sırasını kullanarak savunmasız zip dosyasına yerleştirerek saldırıyı gösterdi:
Veri akışı enjeksiyonunu takiben, kötü amaçlı yük yükü meşru Microsoft Office uygulama yükleyicisi kullanılarak yürütülebilir:
Bu Living Land of Land Binary (Lolbin) tekniği, geleneksel güvenlik izleme sistemlerinden kaçarken yetkisiz kod yürütmek için güvenilir Windows süreçlerinden yararlanır.
Saldırı vektörü özellikle ilgilidir, çünkü meşru sistem bileşenlerini kullanır, bu da algılamayı güvenlik ekipleri için önemli ölçüde daha zor hale getirir.
Güvenlik açığı başlangıçta 2019 yılında rutin güvenlik değerlendirmeleri sırasında keşfedildi, ancak MOE’nin 2025’teki son yeniden infazasyonu olana kadar kullanılmamış kaldı.
Sorunun çoklu Lenovo cihaz nesillerinde sürekliliğini teyit ettikten sonra, araştırmacı Lenovo’nun Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) ile temasa geçti.
Lenovo’nun yanıtı bir yazılım yaması yayınlamayacaklarını gösteriyor; Bunun yerine, iyileştirme rehberliği sağlayacaklar.
Azaltma stratejileri
Kuruluşlar çeşitli yöntemlerle derhal iyileştirme yapabilir. En basit yaklaşım, PowerShell kullanarak savunmasız dosyanın kaldırılmasını içerir:
Alternatif olarak, yöneticiler komut istemini gizli dosya öznitelik bayrağıyla kullanabilirler:
Kurumsal ortamlar, etkilenen tüm sistemlerde sistematik olarak kaldırılmasını sağlamak için grup politika tercihlerinden, Sistem Merkezi Yapılandırma Yöneticisi’nden (SCCM) veya benzer yönetim araçlarından yararlanmalıdır.
Bu olay, Applocker dağıtımlarını uygularken kapsamlı dosya sistemi denetiminin önemli önemini vurgulamaktadır, çünkü küçük gözetim bile temel erişim kontrollerini atlayan önemli güvenlik açıkları yaratabilir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi