کشف آسیب‌پذیری خطرناک در فایل قابل‌نوشتن در دایرکتوری ویندوز لپ‌تاپ‌های Lenovo و دور زدن مخفیانه AppLocker

یک آسیب‌پذیری امنیتی مهم در سیستم‌عامل ویندوز پیش‌نصب‌شده روی دستگاه‌های Lenovo کشف شده که به مهاجمان اجازه می‌دهد قوانین امنیتی AppLocker مایکروسافت را به‌صورت مخفیانه دور بزنند.

این آسیب‌پذیری همه نسخه‌های دستگاه‌های Lenovo با نصب پیش‌فرض ویندوز را تحت تأثیر قرار می‌دهد و برای محیط‌های سازمانی که بر پایه AppLocker طراحی شده‌اند، تهدیدی جدی محسوب می‌شود.

جزئیات آسیب‌پذیری

این مشکل ناشی از وجود یک فایل زیپ با نام MFGSTAT.zip در مسیر C:\Windows\ است که دارای سطوح دسترسی نادرست می‌باشد؛ به‌گونه‌ای که هر کاربر احراز هویت‌شده می‌تواند روی آن بنویسد یا محتوای مخرب اجرا کند.

نکات کلیدی

1. فایل قابل‌نوشتن MFGSTAT.zip در مسیر ویندوز به مهاجم امکان دور زدن AppLocker را می‌دهد.

2. مهاجم از ویژگی Alternate Data Streams (ADS) در NTFS برای مخفی‌سازی فایل اجرایی درون فایل زیپ استفاده می‌کند.

3. آسیب‌پذیری از سال ۲۰۱۹ کشف شده ولی در سال ۲۰۲۵ همچنان در دستگاه‌های جدید Lenovo وجود دارد.

4. هیچ وصله‌ای ارائه نشده و تنها راهکار، حذف دستی فایل است.

نحوه بهره‌برداری: استفاده از Alternate Data Streams

مهاجمان از ویژگی پنهانی ADS در فایل‌سیستم NTFS استفاده می‌کنند تا محتوای مخرب را درون یک فایل بی‌خطر (مثل زیپ) جاسازی کنند. سپس از پردازش‌های مشروع سیستم‌عامل مانند اجراکننده آفیس مایکروسافت برای اجرای این فایل استفاده می‌کنند. این روش موسوم به LOLBin (Living Off The Land Binary) است که از فایل‌های اجرایی داخلی ویندوز برای اجرای کد مخرب استفاده می‌کند و تشخیص آن را برای سیستم‌های مانیتورینگ امنیتی بسیار دشوار می‌سازد.

کشف و واکنش

این آسیب‌پذیری ابتدا در سال ۲۰۱۹ توسط تیم‌های امنیتی شناسایی شد اما تا سال ۲۰۲۵ بدون اصلاح باقی مانده بود. پژوهشگر امنیتی Oddvar Moe از شرکت TrustedSec با بررسی دوباره موضوع، تداوم این آسیب‌پذیری را در مدل‌های جدید Lenovo تأیید کرد و موضوع را به تیم امنیتی محصولات لنوو (PSIRT) گزارش داد.

لنوو اعلام کرده که هیچ وصله‌ای برای این مشکل منتشر نخواهد کرد و صرفاً راهنمای حذف فایل آسیب‌پذیر را ارائه خواهد داد.

راهکارهای مقابله و حذف فایل

برای حذف فایل آسیب‌پذیر، می‌توان از دستورات زیر استفاده کرد:

با پاورشل:

Remove-Item "C:\Windows\MFGSTAT.zip"

با Command Prompt به‌صورت فایل مخفی:

del /A:H "C:\Windows\MFGSTAT.zip"

در محیط‌های سازمانی، استفاده از ابزارهایی مانند Group Policy Preferences یا System Center Configuration Manager (SCCM) برای حذف خودکار فایل در تمام سیستم‌های تحت شبکه توصیه می‌شود.

جمع‌بندی

این حادثه بار دیگر اهمیت ممیزی دقیق سیستم فایل (filesystem auditing) و بازبینی کامل دسترسی‌ها در زمان پیاده‌سازی AppLocker را گوشزد می‌کند. حتی یک فایل اشتباهی در مسیر ویندوز می‌تواند به مهاجمان راه نفوذی فراهم کند که تمام قوانین دسترسی و اجرای برنامه را دور بزند.