Lenovo製PCに潜むAppLocker回避の脆弱性 標準ユーザーでも書き込み可能に:セキュリティニュースアラート
セキュリティ研究者が、Lenovo製PCのWindowsシステムフォルダにAppLocker回避に悪用可能な脆弱ファイルが存在すると報告した。ACL設定不備により標準ユーザーでも書き込みができ、悪用可能とされている。
セキュリティ研究者のオッドヴァル・モー氏は2025年7月3日(現地時間)、自身のブログでLenovo製PCに標準搭載の「Windows」のシステムフォルダ内に、任意の認証済みユーザーによる書き込みが可能なファイル(C:\Windows\MFGSTAT.zip)が存在することを報告した。「AppLocker」の制限を回避する経路として悪用され得る重大なセキュリティの問題と指摘されている。
Lenovo製PCの「Windows」に脆弱なファイルが見つかる
この問題の本質は「MFGSTAT.zip」に付与されているアクセス制御リスト(ACL)の設定不備にある。標準ユーザーにおいてもこのファイルへの書き込みおよび実行権限が与えられており、AppLockerの初期設定ではWindowsディレクトリ配下のファイルが実行可能になっていることから、これが回避手段として機能してしまう。
この脆弱(ぜいじゃく)性はファイル自体を直接改変しなくとも、Windowsの機能の「Alternate Data Stream」(ADS)を利用して悪意ある実行ファイルをファイルのデータストリームとして埋め込み、「Microsoft Office」に同梱されている「appvlp.exe」などの正規実行ファイルを使ってコードを実行することで利用可能となる。
モー氏は2019年に初めてこの問題に気が付いたという。当時は特定モデルの問題と認識していたが、2025年になって再確認した結果、他のLenovo端末にも同様のファイルが存在していることを確認した。Lenovoのセキュリティ対応チーム(PSIRT)に報告をしている。
Lenovoは対応策として、該当ファイルを「PowerShell」やコマンドプロンプト、または、エクスプローラーから削除する方法を案内している。
- PowerShellの場合: Remove-Item -Path "C:\Windows\MFGSTAT.zip" -Force
- コマンドプロンプトの場合: del /A:H C:\Windows\MFGSTAT.zip
- Windowsファイルエクスプローラーの場合: C:\Windowsに移動し、「表示」タブから「表示」→「隠しファイル」を表示させ、MFGSTAT.zipを右クリックして削除
本件はシステムフォルダに存在する意図しない権限設定が、信頼されているアプリケーション制御機能の脆弱性となり得ることを示す例といえる。AppLockerのような制御機構を導入する際には、事前にファイルシステム全体の権限設定を精査することが望まれる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
多要素認証突破も当たり前 今話題のリアルタイムフィッシングとは?
国内でのフィッシング被害が激化する中、多要素認証を突破する攻撃も登場しています。こうした高度な攻撃に対処するには個人を含めた組織全体でセキュリティリテラシーを向上させる必要があります。ではそのためにはどうすればいいのでしょうか。
Chromeに深刻な脆弱性「CVE-2025-6554」 急ぎアップデートを
Google Chromeはセキュリティの修正を含む最新バージョンを提供した。リモートから任意の読み書き操作が可能になる深刻な脆弱性を修正しており、早急なアップデートが推奨されている。
セキュリティ人材は“完全内製” 住友生命のTanium活用と本気の人材育成術
住友生命は端末管理強化に向けて約5万台にTaniumを導入した。本記事では、ツール検討から評価ポイント、導入の効果に加えて、ツールの効果を最大限に発揮するための人材育成術についても踏み込んで紹介する。
迫るWindows 10サポート終了 “すぐには移行しない勢”向けの手段とは?
Microsoftは2025年10月にWindows 10のサポートを終了しWindows 11およびCopilot+ PCへの移行を促進する方針を示した。移行支援策として幾つかの選択肢が用意されることも分かっている。“すぐには移行しない勢”向けの手段とは。