Một lỗ hổng bảo mật nghiêm trọng tồn tại trên các thiết bị Lenovo sử dụng hệ điều hành Windows cài sẵn, cho phép kẻ tấn công vượt qua AppLocker – cơ chế kiểm soát thực thi ứng dụng của Microsoft – chỉ bằng một tệp có thể ghi trong thư mục hệ thống.
Cụ thể, tệp MFGSTAT.zip nằm tại C:\Windows\ được cấu hình sai quyền truy cập, cho phép người dùng thông thường ghi dữ liệu và thực thi mã từ vị trí này. Điều này vi phạm nguyên tắc của AppLocker, vốn mặc định cho phép thực thi từ mọi thư mục trong Windows.
Kẻ tấn công lợi dụng kỹ thuật Alternate Data Streams (ADS) – một tính năng của NTFS cho phép nhúng mã độc trong tệp mà không hiển thị ra ngoài. Sau đó, chúng thực thi mã qua ứng dụng hợp lệ như AppVLP.exe hoặc Microsoft Office loader, đánh lừa hoàn toàn cơ chế kiểm soát của AppLocker.
Điều đáng báo động: lỗ hổng này tồn tại từ năm 2019 và đến nay (2025) vẫn chưa được Lenovo vá. Việc khai thác không đòi hỏi quyền admin – chỉ cần người dùng đã đăng nhập là đủ để cài và chạy mã độc. Với các hệ thống doanh nghiệp triển khai AppLocker theo mặc định, đây là lỗ hổng nghiêm trọng có thể bị khai thác để thực thi mã trái phép, vượt qua kiểm soát bảo mật một cách âm thầm.
