Lenovo Dispatcher drayveridagi CVE-2025-8061 zaifligi — PoC eksploit ommaga chiqdi, darhol chora koʻring

Soʻnggi tekshiruvlar natijasida Lenovo Dispatcher drayverlarida (LnvMSRIO.sys) jiddiy zaiflik aniqlangan va unga oid proof-of-concept (PoC) eksploit ommaga chiqarildi. Bu zaiflik (CVE-2025-8061) mahalliy hujumchiga tizimda huquqlarni oshirish (privilege escalation) orqali kernel darajasida kod ishga tushirish imkonini beradi — natijada butun kompyuter nazorat ostiga o’tilishi mumkin.

Zaiflikning mohiyati — kim va qanday zarar koʻrishi mumkin?

  • Muammo Lenovo Dispatcher 3.0 va 3.1 drayverlarida: IOCTL interfeysiga yetarli darajada kirish nazorati yoʻq.
  • Taʼsirlangan qurilmalar: asosan Lenovo’ning isteʼmolchi noutbuklari (Windows 10 yoki eski Windows 11 binolari bilan).
  • Ekspluatatsiya shartlari: hujumchi mahalliy (autentifikatsiyalangan) foydalanuvchi boʻlishi kerak; shuningdek, Windows Core Isolation — Memory Integrity xususiyati oʻchirilgan boʻlsa xavf oshadi.
  • Texnik jihat: PoC MSR (Model-Specific Register) oʻqish orqali kernel manzillarini topadi, ASLR/SMEP kabi himoyalarni aylanib oʻtadi va token-stealing yordamida SYSTEM huquqlarini qoʻlga kiritadi.

NG (jiddiylik) bahosi

Milliy zaifliklar bazasida ushbu muammo CVSS 4.0 bo‘yicha 7.3 ball (yuqori) deb baholangan. Hujum murakkabligi nisbatan yuqori va mahalliy kirish talab etiladi, lekin PoC ommaga chiqgani sababli xavf real va tezda jiddiylashishi mumkin.

Darhol bajarilishi lozim boʻlgan choralar

  1. Drayverni yangilang. Lenovo tomonidan chiqarilgan yamoq — Dispatcher 3.1.0.41 yoki undan yangi versiyaga oʻting (Windows Update yoki Lenovo rasmiy saytidan).
  2. Core Isolation — Memory Integrity ni yoqing. Windows Security → Device Security → Memory Integrity opsiyasini tekshirib, yoqib qoʻying. Bu kernel eksploitlarini sezilarli darajada qiyinlashtiradi.
  3. Mahalliy huquqlarni cheklang. Foydalanuvchilarga faqat kerakli huquqlarni bering; administrator hisoblarini cheklang.
  4. Nomaʼlum drayverlarni bloklang. Driver signature enforcement (DSE) siyosatini va WHQL tekshiruvlarini qatʼiy amalga oshiring.
  5. Endpoint monitoringni yoqing. IOCTL chaqiriqlari va drayver o‘rnatishlarini kuzatish uchun EDR/AV loglarini tekshiring.
  6. Inventarizatsiya qiling va skan qiling. Tashkilot bo‘yicha LnvMSRIO.sys versiyalarini aniqlang va zaif drayverlarga ega mashinalarni ustuvor ravishda yangilang.
  7. Favqulodda reaksiya rejasini tayyorlang. Agar kompromat aniq bo‘lsa — qurilmani izolyatsiya qiling, forensikani boshlang va tiklash rejalarini ishga soling.

Nega bu muhim?

Bu holat BYOVD (Bring Your Own Vulnerable Driver) taktikasiga o‘xshaydi: imzolangan yoki ishonchli ko‘ringan drayverlar ham zaif bo‘lib, ular orqali hujumchilar tizim xavfsizligini aylanib oʻtishi mumkin. PoC’ning ommaga chiqishi esa hujum metodikasini tezda kengaytirishi, zararli skriptlar yoki red-team vositalariga qo‘shilishi xavfini oshiradi.

Qoʻshimcha tavsiyalar (tashkilotlar uchun)

  • Zudlik bilan MDM/PSA orqali drayver yangilashni majburiy qiling.
  • EDR qoidalarida IOCTL anomalikalarini va MSR oʻqishlarining oldindan belgilangan namunalari bo‘yicha ogohlantirishlar yarating.
  • Tizimlarni skan qilish uchun PowerShell skripti yoki MDM cheklovlarini tayyorlang (agar xohlasangiz, men namunaviy script yozib bera olaman).
  • Xodimlarga mahalliy admin huquqlari berilishining oqibatlari haqida xabardorlik treningi oʻtkazing.