Se ha descubierto una vulnerabilidad de seguridad significativa en los sistemas operativos Windows precargados de Lenovo, donde un archivo de escritura en el directorio de Windows permite a los atacantes evitar el marco de seguridad de Applocker de Microsoft.
El problema afecta a todas las variantes de las máquinas Lenovo que ejecutan instalaciones predeterminadas de Windows y plantea serias implicaciones para los entornos de seguridad empresarial.
La vulnerabilidad se centra en el archivo mfgstat.zip ubicado en el directorio C: \ Windows \, que posee permisos de archivo incorrectos que permiten a cualquier usuario autenticado escribir y ejecutar contenido desde esta ubicación.
Control de llave
1. Archivo WRITITY MFGSTAT.ZIP en el directorio de Windows de Lenovo omite la seguridad del aplicador debido a los permisos incorrectos.
2. Utiliza flujos de datos alternativos para ocultar ejecutables en el archivo zip, luego los ejecuta a través de procesos legítimos de Windows.
3. Afecta todas las máquinas de Lenovo con ventanas precargadas, descubiertas en 2019 pero aún presentes en 2025.
4. Elimine el archivo usando el comando PowerShell o las herramientas de administración de empresas: no hay parche disponible.
Esta configuración crea una brecha de seguridad crítica en entornos donde se implementan las reglas predeterminadas de Applocker, ya que estas reglas generalmente permiten la ejecución desde cualquier ubicación dentro de la estructura de la carpeta de Windows.
La técnica de explotación aprovecha flujos de datos alternativos (ADS)
La técnica de explotación aprovecha los flujos de datos alternativos (AD), una característica NTFS menos conocida que permite a los atacantes ocultar contenido ejecutable dentro de archivos aparentemente benignos.
Oddvar Moe de TrustedSec demostró el ataque al incrustar la utilidad Autoruns.exe de Microsoft Sysinternals en el archivo zip vulnerable utilizando la siguiente secuencia de comando:
Después de la inyección del flujo de datos, la carga útil maliciosa se puede ejecutar utilizando el cargador legítimo de aplicaciones de Microsoft Office:
Esta técnica de Vivir Off the Land Binary (LOLBIN) explota los procesos de ventanas de confianza para ejecutar código no autorizado mientras evade los sistemas tradicionales de monitoreo de seguridad.
El vector de ataque es particularmente preocupante porque utiliza componentes legítimos del sistema, lo que hace que la detección sea significativamente más desafiante para los equipos de seguridad.
La vulnerabilidad fue inicialmente descubierto En 2019, durante las evaluaciones de seguridad de rutina, pero permaneció sin abordar hasta la reciente reinvestigación de Moe en 2025.
Al confirmar la persistencia del problema en múltiples generaciones de dispositivos Lenovo, el investigador contactó al Equipo de Respuesta a Incidentes de Seguridad de Productos de Lenovo (PSIRT).
La respuesta de Lenovo indica que no lanzarán un parche de software; En cambio, proporcionarán orientación de remediación.
Estrategias de mitigación
Las organizaciones pueden implementar una remediación inmediata a través de varios métodos. El enfoque más directo implica eliminar el archivo vulnerable usando PowerShell:
Alternativamente, los administradores pueden utilizar el símbolo del sistema con el indicador de atributo de archivo oculto:
Los entornos empresariales deben aprovechar las preferencias de política de grupo, el administrador de configuración del centro de sistemas (SCCM) o herramientas de administración similares para garantizar la eliminación sistemática en todos los sistemas afectados.
Este incidente destaca la importancia crucial de la auditoría integral del sistema de archivos al implementar las implementaciones de Applocker, ya que incluso las supervisiones menores pueden crear vulnerabilidades de seguridad significativas que evitan los controles de acceso fundamental.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
