Исследователи кибербезопасности из Atredis обнаружили несколько критических уязвимостей в Lenovo Vantage - предустановленном ПО от Lenovo, предназначенном для управления обновлениями, настройками и мониторингом состояния системы на ноутбуках компании. Эти уязвимости, получившие идентификаторы CVE-2025-6230, CVE-2025-6231 и CVE-2025-6232, позволяют локальным злоумышленникам с низкими привилегиями обходить механизмы аутентификации и выполнять произвольный код с максимальными правами (SYSTEM), что может привести к полному захвату контроля над устройством.
Lenovo оперативно отреагировала на угрозу и выпустила патчи 8 июля 2025 года в рамках бюллетеня безопасности LEN-196648, устраняющие все обнаруженные проблемы. Однако пользователям необходимо вручную проверить наличие обновлений и установить их, чтобы защитить свои устройства.
Недостаток Lenovo Vantage
Проблемы кроются в архитектуре Lenovo Vantage, которая состоит из центрального сервиса с правами SYSTEM, взаимодействующего через RPC-интерфейсы с подключаемыми модулями (add-ins), написанными на C#. Эти модули хранятся в XML-файлах по пути %ProgramData%\Lenovo\Vantage\Addins, причем некоторые из них выполняются с повышенными привилегиями. Аутентификация клиентских процессов осуществляется через проверку цифровых подписей, однако исследователи показали, что этот механизм можно обойти.
Одна из уязвимостей, CVE-2025-6230, связана с возможностью SQL-инъекции в модуле VantageCoreAddin, который управляет системными настройками и хранит их в защищенной базе данных SQLite (C:\ProgramData\Lenovo\Vantage\Settings\LocalSettings.db). Команды DeleteTable и DeleteSetting некорректно обрабатывают параметр "Component", что позволяет злоумышленнику выполнять произвольные SQL-запросы. Хотя прямое выполнение кода затруднено из-за отключенных пользовательских функций, атакующий может создавать файлы с контролируемым содержимым, что открывает пути для дальнейшей эскалации привилегий.
Уязвимость CVE-2025-6232 затрагивает механизм проверки реестра в команде Set-KeyChildren. Несмотря на попытку ограничить запись только в раздел HKCU\SOFTWARE\Lenovo, проверка с использованием IndexOf позволяет обойти защиту благодаря частичному совпадению строк. Это означает, что злоумышленник может создать символическую ссылку на защищенные ключи реестра, например, в HKLM, и изменить параметры запуска служб, подменив исполняемые файлы на вредоносные.
Третья уязвимость, CVE-2025-6231, объединяет проблемы с обходом пути (path traversal) и race condition (TOCTOU) в модуле LenovoSystemUpdateAddin. Некорректная проверка параметра AppID позволяет загружать поддельные манифесты обновлений из контролируемых злоумышленником каталогов. Кроме того, неатомарная проверка подписей XML-файлов делает возможным подмену легитимного манифеста вредоносным, что в итоге приводит к выполнению произвольного кода с повышенными правами.
Для защиты пользователям рекомендуется обновить следующие компоненты: VantageCoreAddin до версии 1.0.0.199 или новее, LenovoSystemUpdateAddin до 1.0.24.32 и выше, Lenovo Vantage до 10.2501.20.0, а коммерческую версию ПО - до 20.2506.39.0. Актуальные версии можно проверить в XML-файлах модулей или в директориях установки.
Данные уязвимости в очередной раз демонстрируют риски, связанные с использованием механизмов аутентификации, основанных только на цифровых подписях, а также необходимость строгой проверки входных данных и атомарных операций в привилегированных сервисах. Компаниям-разработчикам стоит уделять больше внимания аудиту безопасности своих решений, особенно если они работают с высокими уровнями доступа. Пользователям же рекомендуется регулярно проверять наличие обновлений и своевременно их устанавливать, чтобы минимизировать риски эксплуатации подобных уязвимостей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-6230
- https://www.atredis.com/blog/2025/7/7/uncovering-privilege-escalation-bugs-in-lenovo-vantage
