联想Windows目录可写文件漏洞可隐秘绕过AppLocker防护

主要观点总结

研究人员在联想预装的Windows操作系统中发现了一个安全漏洞，该漏洞使得攻击者可以绕过微软的AppLocker安全框架。漏洞的核心是联想Windows目录下可写的MFGSTAT.zip文件存在权限配置错误，允许任何经过身份验证的用户对该位置进行写入和执行操作。该漏洞影响所有采用默认Windows安装的联想设备，并对企业安全环境构成威胁。

关键观点总结

关键观点1: 漏洞概述

研究发现联想Windows系统中存在安全漏洞，源于MFGSTAT.zip文件的权限配置错误，允许绕过AppLocker防护。

关键观点2: 漏洞利用技术

攻击者利用NTFS备用数据流（ADS）在压缩文件中隐藏可执行文件，通过合法Windows进程运行，实现绕过安全监控系统的目的。这种利用合法二进制文件（LOLBin）的技术使攻击向量难以被安全团队检测。

关键观点3: 漏洞影响范围

该漏洞影响所有采用默认Windows安装的联想设备，对企业安全环境构成威胁。

关键观点4: 漏洞历史与厂商响应

漏洞最初于2019年发现，但直到2025年才引起关注。联想在确认问题后迅速响应，提供了修复指南。

关键观点5: 缓解措施

企业可以通过删除漏洞文件、使用管理员命令提示符以及利用管理工具如组策略和System Center Configuration Manager来确保所有受影响系统完成统一清理。同时，该事件强调了全面文件系统审计的重要性，以避免出现可绕过基础访问控制的安全漏洞。

免责声明