Un trío de CVE-2025-6230 recientemente revelado, CVE-2025-6231 y CVE-2025-6232 subrayan cómo una sola utilidad OEM de confianza puede convertirse en un trampolín para el compromiso completo de la máquina.
Lenovo Vantage, enviado de forma predeterminada en la mayoría de las computadoras portátiles modernas de ThinkPad y Thinkbook, ejecuta un servicio central como NT Authority \ System y carga dinámicamente complementos C# para exponer las funciones de actualización, control de hardware y telemetría.
Debido a que se espera que estos complementos hablen con el servicio privilegiado a través de un protocolo patentado JSON-Over-RPC, cualquier defecto en la validación o el manejo de la ruta de la ruta amplía instantáneamente la superficie de ataque para los adversarios locales.
Lenovo lanzó parches el 8 de julio, pero los puntos finales sin parpadear siguen siendo susceptibles a la escalada de privilegios de un solo clic que otorga un control completo de los puntos finales de Windows.
El viaje de un atacante comienza pasando por alto la autenticación del cliente basada en la firma de Vantage.
El servicio solo verifica que el proceso de conexión lleva una firma digital de Lenovo, un control fácilmente derrotado al dejar caer un binario firmado legítimo como fnhotkeywidget.
Cuando el ejecutable de confianza carga la DLL secuestrada, el adversario gana la ejecución del código dentro de un contexto firmado por Lenovo y puede hablar libremente a la interfaz RPC.
Analistas de Atredis anotado que esta única debilidad hace que la superficie de ataque RPC restante sea totalmente accesible sin derechos de administración.
Arquitectura de Lenovo Vantage (Fuente – Atredis)
Esta arquitectura ilustra cómo cada complemento privilegiado registra contratos que el servicio central enruta ciegamente.
CVE IDVulnerable Componente / AddRoot Cause & Breve Technical Descripción Attacas Prerrequisitos / Explote Techniqueprivilege ganado y posterior a la explotación Versión compatible con el valor-2025-6230 vantageCoreaddin Service HandLersunsunsitiseSingsetting.com El valor de los posibles. consultas apiladas posibles en SQLite, permitiendo una base de datos adjunta para sobrescribir archivos arbitrarios en el proceso de diskany sin privilegios que pueden hablar con la tubería Vantage JSON-RPC (Bypass Signature Check a través de la Holla de DLL de Lenovo Signed Helper) envía una carga de pago el SQL SQL Overwresse System → Ejecutar la carga de pago en el sistema de pago en el sistema de pago. shellvantageCoreaddin ≥ 1.0.0.199cve-2025-6231Lenovosystemupdataaddinpath-traversal en appid construye ruta manifiesta fuera del directorio de confianza y la carrera de tactou permiten que el atacante cambie un enlace symlink después de la validación de la firma pero antes de la segunda lectura, cargando el instalador no confiado. Appid = \ “.. \\ .. \\ .. \\ .. \\ boo2 \\ mleno \” y aprovechar baitandswitch para correr la lectura manifiesta; El XML malicioso ejecuta el instalador con el instalador de parámetros controlado por el atacante se ejecuta en el contexto de administrador o del sistema; El atacante agrega banderas o ajustes de entorno para generar código arbitrario como SystemlenovosystemUpdateDin ≥ 1.0.24.32CVE-2025-6232vantageCoreaddin set-keyChildrenAld-list solo verifica sustring “hkcu \ software \ lenovo”; El atacante suministra ruta como HKLM \\ … \\ Battery1 \\ Hkcu \\ Software \\ lenovo, que pasa filtros y se dirige a las claves de gestión de alimentación de Lenovo en hklmmodify DaCl en la ruta de servicio WRITATY WRITATY RATH; RPC posterior escribe Flips ImagePath de un servicio al atacante BinaryService reiniciar o reiniciar el atacante binario como sistema, lo que da control de control completo persistente vantageCoreaddin ≥ 1.0.0.199
El contrato más crítico, VantageReaddin, contiene un par de primitivas clásicas de inyección SQL que tocan la base de datos de configuración almacenada en C: \ ProgramData \ Lenovo \ Vantage \ Settings \ Localsettings.db.
Dado que el nombre del componente dentro de los manejadores de DeletetTable y Deleteseting se interpola directamente en una tabla de caída o eliminación de la declaración, son posibles consultas apiladas, permitiendo que un adversario sobrescriba archivos arbitrarios creados por la función de base de datos adjunta de SQLite:——
cadena cmd = $ “table de caída {localsetting.component}”; sqlitecommand.commandText = cmd; sqlitecommand.executenQuery (); // CVE-2025-6230
Explotación de la validación errónea del registro para el acceso a nivel del sistema
CVE-2025-6232 ofrece el golpe de estado. El comando Set-KeyChildren pretende restringir las escrituras a HKCU \ Software \ Lenovo, pero la lista blanca verifica simplemente busca la subcadena, lo que permite una ruta diseñada como HKLM \ Software \ wow6432node \ lenovo \ pwrmgrv \ confkeys \ data \ battery1 \ hkcu \ software \ lenovo.
Varias claves de gestión de potencia de Lenovo en esa ubicación heredan FullControl para cualquier usuario iniciado, lo que permite un puente de escritura de una colmena sin privilegios a privilegiado.
Después de que se agregan ACL hereditarias con PowerShell, el atacante crea un enlace simbólico de registro que mapea el camino falso HKCU a la rama HKLM real:–
RegCreateKeyEx (hkey_local_machine, l “software \\ … \\ battery1 \\ hkcu \\ software \\ lenovo \\ test”, 0, nullptr, reg_option_create_link, key_write, nullptr, & hkey, nullptr); RegSetValueEx (Hkey, l “SymbolicLinkValue”, 0, reg_link, (byte *) l “\\ Registry \\ Machine \\ Software \\ lenovo”, wcslen (l “\\ Registry \\ Machine \\ Software \\ Lenovo”) * sizeOf (wChar)); // CVE-2025-6232
El RPC posterior escribe en silencio modifican las claves de servicio HKLM genuinas; Señalar ImagePath a los binarios controlados por los atacantes produce la ejecución del sistema instantáneo en reiniciar o reiniciar el servicio.
Como la mitigación de enlaces simbólicos de Windows prohíbe los enlaces directos de HKCU → HKLM, aprovechando las claves malvisadas de Lenovo esquivan elegantemente la barrera.
Aunque la actualización de Julio de Lenovo plantea los complementos a VantageCoreaddin 1.0.0.199 y LenovosystemupdateDin 1.0.24.32, los equipos de seguridad deben impulsar el parche con urgencia, los acls para el registro de auditoría para el abuso persistente y considerar la eliminación o restringir las vantimentas de forma entra en los entornos endurecidos.
Hasta entonces, cualquier malware de productos básicos capaz de aterrizar en el disco puede encadenar estas fallas para lograr los privilegios más altos con casi ninguna interacción del usuario, un recordatorio aleccionador de que el bloatware confiable a menudo esconde traseros de grado empresarial a la vista.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
