聯想電腦預載可寫入資料的檔案，可能被用於突破Windows AppLocker安全防護

資安廠商發現聯想（Lenovo）電腦中一個預載檔案被可寫入資料，可能破壞Windows 的AppLocker提供的安全防護。

本問題是由資安顧問公司TrustedSec研究人員Oddvar Moe發現，問題檔案是聯想電腦預載於其Windows映像檔、位於C:\Windows目錄下的mfgstat.zip。檢視其存取控制表可以發現，一個經授權的使用者具有完整權限，可修改、讀、寫與執行檔案。這就抵觸了微軟透過Windows AppLocker提供的防護。

AppLocker是內建於Windows的安全工具，可讓標準使用者控制哪些App和文件檔案、指令碼、DLL、已封裝應用程式或Windows Installer等檔案可以執行，並防止使用者執行未經核准的檔案。

研究人員表示，AppLocker 預設規則是，使用者可執行C:\Windows目錄下任何檔案，然其運作基礎是標準使用者無法寫入已受保護的區域。而mfgstat.zip就成了一個破口。一般使用者可以先在mfgstat.zip中寫入程式碼，然後運用經過核准的Windows二進位檔，例如研究人員測試時，以AppLVP.exe執行寫入的程式碼，繞過AppLocker防護。這個過程只需標準用戶身份，不必具備管理員權限。

研究人員在2019年發現這個問題，並在今年在新聯想電腦上再次發現而確認。但他通報聯想研究部門PSIRT，得到的回應是不會修補，而是告知移除mfgstat.zip的方法。最直觀的方法是利用檔案管理員，找到C:\Windows，利用「檢視」顯示隱藏的檔案，找到mfgstat.zip，再按右鍵從選單中選擇「刪除」。若是企業電腦，則必須使用微軟System Center 配置管理員（SCCM）中的群組規則（Group Policy）或其他工具來移除。

mfgstat.zip是包含在聯想預設Windows映像檔中，但許多大型企業執行自有配置的作業系統，而不使用聯想預設軟體。因此使用自有映像檔的企業，應該不存在這個檔案。