Các nhà nghiên cứu bảo mật tại Atredis đã phát hiện nhiều lỗ hổng leo thang đặc quyền trong Lenovo Vantage, một nền tảng quản lý được cài đặt sẵn trên các máy tính xách tay Lenovo, chịu trách nhiệm xử lý các bản cập nhật thiết bị, cấu hình và giám sát tình trạng hệ thống. Những lỗ hổng này, được theo dõi dưới các mã CVE-2025-6230, CVE-2025-6231 và CVE-2025-6232, cho phép người dùng không có đặc quyền bỏ qua cơ chế xác thực và thực thi mã với đặc quyền cấp SYSTEM, có khả năng dẫn đến việc kiểm soát hoàn toàn hệ thống.
Lenovo đã phát hành các bản vá vào ngày 8 tháng 7 năm 2025, như một phần của bản tư vấn LEN-196648, khắc phục tất cả các vấn đề đã được xác định.
Tổng quan về kiến trúc và phương pháp khai thác chung
Các lỗ hổng này xuất phát từ kiến trúc mô-đun của Lenovo Vantage, trong đó có một dịch vụ trung tâm chạy với đặc quyền SYSTEM giao tiếp qua các điểm cuối RPC (Remote Procedure Call) với các tiện ích bổ sung (add-ins) có thể cắm vào, được viết bằng C#. Thiết kế này phơi bày các yêu cầu dựa trên JSON được định tuyến đến các add-ins được định nghĩa trong các tệp XML nằm dưới đường dẫn %ProgramData%\Lenovo\Vantage\Addins. Trong các add-ins này, ngữ cảnh thực thi khác nhau, với năm add-ins chạy ở trạng thái đặc quyền cao.
Cơ chế xác thực của Lenovo Vantage dựa vào việc xác minh chữ ký số của các tiến trình máy khách. Mặc dù đây là một biện pháp kiểm soát phổ biến, nhưng nó đã được chứng minh là có thể bị bỏ qua, tương tự như các trường hợp đã thấy ở các nhà cung cấp khác như Dell và Asus.
Kẻ tấn công có thể khai thác lỗ hổng này bằng cách chiếm quyền một tệp nhị phân hợp lệ của Lenovo đã được ký số, chẳng hạn như FnhotkeyWidget.exe. Việc chiếm quyền này được thực hiện thông qua kỹ thuật DLL search order hijacking trong một thư mục có thể ghi được. Kẻ tấn công có thể tiêm một payload DLL, ví dụ như profapi.dll, để truy cập các giao diện RPC đặc quyền, từ đó thực hiện các hành động không được phép.
Phân tích chi tiết các lỗ hổng
CVE-2025-6230: Lỗi SQL Injection trong VantageCoreAddin
Lỗ hổng CVE-2025-6230 liên quan đến các lỗi SQL Injection trong VantageCoreAddin. VantageCoreAddin chịu trách nhiệm quản lý các chức năng cốt lõi của hệ thống và lưu trữ cài đặt trong một cơ sở dữ liệu SQLite được bảo vệ bởi đặc quyền SYSTEM, nằm tại đường dẫn C:\ProgramData\Lenovo\Vantage\Settings\LocalSettings.db.
Các lệnh như DeleteTable và DeleteSetting không thực hiện làm sạch (sanitize) trường “Component” một cách thích hợp. Điều này cho phép thực thi các truy vấn SQL tùy ý thông qua kỹ thuật stacked queries (truy vấn xếp chồng), được hỗ trợ bởi thư viện .NET SQLite. Mặc dù việc thực thi mã trực tiếp bị hạn chế do các hàm do người dùng định nghĩa (UDFs) bị vô hiệu hóa, nhưng kẻ tấn công vẫn có thể tạo các tệp với nội dung được kiểm soát. Khả năng này có thể được sử dụng làm bước đệm để tạo điều kiện thuận lợi cho các nỗ lực leo thang đặc quyền tiếp theo.
CVE-2025-6232: Lỗi bỏ qua danh sách trắng Registry
CVE-2025-6232 khai thác một danh sách trắng (whitelist) registry bị lỗi trong lệnh Set-KeyChildren. Lệnh này ban đầu được thiết kế để hạn chế quyền ghi vào khóa HKCU\SOFTWARE\Lenovo nhưng lại dễ bị bỏ qua thông qua việc so khớp chuỗi con (substring matching) bằng cách sử dụng các kiểm tra IndexOf. Điều này có nghĩa là thay vì kiểm tra chính xác đường dẫn, hệ thống chỉ kiểm tra xem một phần của đường dẫn có khớp hay không.
Bằng cách tạo ra các đường dẫn độc hại như HKLM\SOFTWARE\Lenovo\HKCU\SOFTWARE\Lenovo và tận dụng các khóa HKLM cụ thể của Lenovo có thể ghi được (ví dụ: dưới SOFTWARE\WOW6432Node\Lenovo\PWRMGRV\ConfKeys\Data), những kẻ tấn công có thể:
- Sửa đổi DACLs (Discretionary Access Control Lists) để cho phép kế thừa quyền truy cập.
- Tạo các liên kết tượng trưng (symbolic links) bằng cách sử dụng các hàm RegCreateKeyEx và RegSetValueEx của Windows API.
- Chuyển hướng các thao tác ghi vào các khu vực đặc quyền của hệ thống.
Điều này cho phép kẻ tấn công can thiệp vào các đường dẫn hình ảnh dịch vụ (service image paths), từ đó cho phép các tệp nhị phân tùy ý chạy với đặc quyền cao khi dịch vụ khởi động.
CVE-2025-6231: Lỗi Path Traversal và TOCTOU
CVE-2025-6231 là sự kết hợp của lỗ hổng path traversal (điều hướng đường dẫn) và TOCTOU (Time-of-Check to Time-of-Use) trong LenovoSystemUpdateAddin, xảy ra trong quá trình thực thi hành động InstallOny của lệnh Do-DownloadAndInstallAppComponent.
Các trường AppID không được làm sạch cho phép thực hiện directory traversal, cho phép kẻ tấn công tải các tệp kê khai (manifests) từ các đường dẫn do chúng kiểm soát. Đồng thời, quá trình xác thực không mang tính nguyên tử (non-atomic validation) trong hàm GetAppInformation cũng bị lợi dụng. Cụ thể, hệ thống sử dụng XMLFileValidator để kiểm tra chữ ký, nhưng sau đó mới sử dụng File.ReadAllText để đọc nội dung. Khoảng thời gian giữa hai bước này tạo ra một cửa sổ khai thác TOCTOU.
Trong cửa sổ này, kẻ tấn công có thể hoán đổi các liên kết tượng trưng (symlink swaps) bằng cách sử dụng các công cụ chuyên dụng như BaitAndSwitch. Điều này dẫn đến việc tải các tệp kê khai không đáng tin cậy, cho phép kẻ tấn công kiểm soát các tham số của trình cài đặt trong ngữ cảnh quản trị viên hoặc SYSTEM. Ví dụ, kẻ tấn công có thể tiêm các đối số vào các tiến trình được khởi chạy bởi PowerShell hoặc tận dụng các trình cài đặt như MSI và Inno Setup để thực thi mã với đặc quyền cao mà không cần phải bỏ qua cơ chế UAC (User Account Control) trong một số luồng hoạt động.
Biện pháp khắc phục
Để giảm thiểu rủi ro từ các lỗ hổng này, người dùng nên xác minh và cập nhật các thành phần Lenovo Vantage của mình lên các phiên bản sau hoặc mới hơn:
- VantageCoreAddin: phiên bản 1.0.0.199 hoặc cao hơn.
- LenovoSystemUpdateAddin: phiên bản 1.0.24.32 hoặc cao hơn.
- Lenovo Vantage: phiên bản 10.2501.20.0.
- Lenovo Commercial Vantage: phiên bản 20.2506.39.0.
Người dùng có thể kiểm tra các phiên bản này trong các tệp XML của add-ins hoặc thông qua đường dẫn cài đặt của chúng. Những phát hiện này một lần nữa nhấn mạnh các rủi ro tồn tại trong phần mềm của nhà cung cấp, đặc biệt là khi chúng dựa vào cơ chế xác thực dựa trên chữ ký và không thực hiện các hoạt động nguyên tử, làm sạch đầu vào một cách đầy đủ, và xác thực đường dẫn nghiêm ngặt trong các dịch vụ đặc quyền.
