联想
资安厂商发现联想(Lenovo)电脑中一个预载档案被可写入资料,可能破坏Windows 的AppLocker提供的安全防护。
本问题是由资安顾问公司TrustedSec研究人员Oddvar Moe发现,问题档案是联想电脑预载于其Windows映像档、位于C:Windows目录下的mfgstat.zip。检视其存取控制表可以发现,一个经授权的使用者具有完整权限,可修改、读、写与执行档案。这就抵触了微软透过Windows AppLocker提供的防护。
AppLocker是内建于Windows的安全工具,可让标准使用者控制哪些App和文件档案、指令码、DLL、已封装应用程式或Windows Installer等档案可以执行,并防止使用者执行未经核准的档案。
研究人员表示,AppLocker 预设规则是,使用者可执行C:Windows目录下任何档案,然其运作基础是标准使用者无法写入已受保护的区域。而mfgstat.zip就成了一个破口。一般使用者可以先在mfgstat.zip中写入程式码,然后运用经过核准的Windows二进位档,例如研究人员测试时,以AppLVP.exe执行写入的程式码,绕过AppLocker防护。这个过程只需标准用户身份,不必具备管理员权限。
研究人员在2019年发现这个问题,并在今年在新联想电脑上再次发现而确认。但他通报联想研究部门PSIRT,得到的回应是不会修补,而是告知移除mfgstat.zip的方法。最直观的方法是利用档案管理员,找到C:Windows,利用「检视」显示隐藏的档案,找到mfgstat.zip,再按右键从选单中选择「删除」。若是企业电脑,则必须使用微软System Center 配置管理员(SCCM)中的群组规则(Group Policy)或其他工具来移除。
mfgstat.zip是包含在联想预设Windows映像档中,但许多大型企业执行自有配置的作业系统,而不使用联想预设软体。因此使用自有映像档的企业,应该不存在这个档案。