خانه » CVE-2025-10581
هشدار‌های سایبری

CVE-2025-10581

Lenovo PC Manager Local Privilege Escalation via DLL Hijacking

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 171 بازدید
هشدار سایبری CVE-2025-10581
  • شناسه CVE-2025-10581 :CVE
  • CWE-427 :CWE
  • yes :Advisory
  • منتشر شده: اکتبر 15, 2025
  • به روز شده: اکتبر 15, 2025
  • امتیاز: 7.8
  • نوع حمله: DLL Injection
  • اثر گذاری: Code Execution with Elevated Privileges
  • حوزه: نرم افزارهای کاربردی
  • برند: Lenovo
  • محصول: PC Manager
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری DLL Hijacking در Lenovo PC Manager نسخه‌های پیش از 5.1.140.9262 به دلیل جستجوی کنترل‌نشده مسیر DLL رخ می‌دهد. این ضعف امنیتی می‌تواند به یک کاربر لوکال احراز هویت‌شده اجازه دهد کد دلخواه را با سطح دسترسی بالاتر اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-10581 در نرم‌افزار Lenovo PC Manager ناشی از جستجوی کنترل‌نشده مسیر DLL مطابق با CWE-427 است. ابزار مدیریت Lenovo PC Manager، برای به‌روزرسانی، بهینه‌سازی و نظارت بر دستگاه‌های لنوو طراحی شده است و روی انواع مختلف دستگاه‌های لنوو، شامل دسکتاپ‌ها، لپ‌تاپ‌ها، ThinkCentre و ThinkPad نصب می‌شود. این نرم‌افزار به‌منظور اطمینان از به‌روزرسانی سیستم‌عامل و درایورها، از ویژگی‌های خودکار به‌روزرسانی استفاده می‌کند.

ریشه این آسیب‌پذیری به نحوه بارگذاری DLLها در برنامه بازمی‌گردد. معمولاً زمانی که یک برنامه نیاز به بارگذاری DLL دارد، سیستم به‌طور خودکار در مسیرهای پیش‌فرض سیستم‌عامل جستجو می‌کند تا فایل مورد نظر را پیدا کند. با این حال، در Lenovo PC Manager، این جستجو بدون هرگونه بررسی در مورد صحت و منبع فایل انجام می‌شود. در نتیجه، اگر مهاجم بتواند DLL مخرب را در یکی از مسیرهای جستوجوی برنامه قرار دهد، برنامه به‌طور ناآگاهانه این DLL را بارگذاری کرده و ممکن است باعث اجرای کد دلخواه با دسترسی بالاتر شود.

این آسیب‌پذیری از نوع حملات لوکال است و مهاجم برای بهره‌برداری از آن، نیاز به دسترسی به سیستم هدف دارد. به عبارت دیگر، مهاجم باید دارای دسترسی فیزیکی به دستگاه یا یک حساب کاربری معتبر در سیستم (مانند حساب کاربری استاندارد ویندوز) باشد. پس از دسترسی به سیستم، مهاجم می‌تواند با استفاده از اسکریپت‌های ساده، DLL مخرب را در مسیر جستجوی آسیب‌پذیر قرار دهد. این DLL می‌تواند شامل دستورات خط فرمان (shell commands)، تزریق کد به فرآیندهای دیگر یا حتی دسترسی به فایل‌های حساس سیستم باشد.

فرآیند بهره‌برداری از این آسیب‌پذیری نسبتاً ساده است، زیرا مهاجم تنها باید فایل DLL مخرب در مسیر جستجو قرار دهد و نیازی به دخالت مستقیم کاربر یا تعامل پیچیده ندارد. همچنین، این آسیب‌پذیری در شرایطی که Lenovo PC Manager برای به‌روزرسانی خودکار یا انجام اسکن‌های دوره‌ای پیکربندی شده باشد، می‌تواند ریسک بالاتری ایجاد کند، زیرا اجرای مکرر برنامه باعث افزایش احتمال بهره‌برداری از این آسیب‌پذیری می‌شود. پیامدهای احتمالیِ آسیب پذیری شامل محرمانگی با افشای کامل اطلاعات محرمانه، یکپارچگی با تغییر عملکرد سیستم و در دسترس‌پذیری با ایجاد اختلال در دسترسی به منابع سیستم است. در نهایت، این آسیب‌پذیری در نسخه 5.1.140.9262 و بالاتر به طور کامل پچ شده است.

CVSS

Score Severity Version Vector String
8.5 HIGH 4.0 CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
7.8 HIGH 3.1 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Product
affected from 0 before 5.1.140.9262 PC Manager

لیست محصولات بروز شده

Versions Product
5.1.140.9262 PC Manager

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Lenovo PC Manager را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
35 site:.ir “Lenovo” “PC Manager” Lenovo PC Manager

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Lenovo PC Manager، امکان DLL Hijacking و اجرای کد با دسترسی بالاتر را فراهم می‌کند و می‌تواند به مهاجمان اجازه دهد کنترل کامل سیستم را در محیط‌های ویندوزی به دست آورند. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر برای کاهش ریسک و جلوگیری از بهره‌برداری ضروری است:

  • به‌روزرسانی فوری: تمام نصب‌های Lenovo PC Manager را به نسخه 5.1.140.9262 یا بالاتر به روزرسانی کنید. این اقدام اصلی‌ترین و مؤثرترین راهکار است، زیرا مکانیزم جستجوی DLL را با اعتبارسنجی مسیرهای امن اصلاح می‌کند. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • محدودسازی مسیرهای جستجوی DLL: در رجیستری ویندوز، کلید SafeDllSearchMode را به مقدار 1 (فعال) تنظیم کنید تا DLLها ابتدا از مسیرهای امن سیستم (مانند System32) بارگذاری شوند. این اقدام می‌تواند ریسک DLL Hijacking را در صورت عدم اعمال پچ کاهش دهد. برای انجام این کار می‌توانید از regedit یا سیاست گروهی (Group Policy) استفاده کنید.
  • نظارت بر فایل‌های DLL: از ابزارهای مانیتورینگ مانند Windows Defender Application Control (WDAC) یا Sysmon (ابزاری برای لاگ‌گیری رویدادهای سیستم) برای ردیابی بارگذاری DLLهای مشکوک استفاده کنید. همچنین، لاگ‌های Event Viewer را به‌طور منظم برای رویدادهای مرتبط با PC Manager بررسی نمایید و هشدارهای خودکار برای تغییرات در دایرکتوری‌های موقت تنظیم کنید.
  • ایزوله‌سازی و کنترل دسترسی: اجرای PC Manager را به کاربران استاندارد محدود کرده و از مکانیزم کنترل حساب کاربری (User Account Control) برای جلوگیری از اجرای خودکار برنامه با سطح دسترسی بالا استفاده کنید. همچنین، اپلیکیشن را در محیط‌های مجازی‌سازی‌ ایزوله نمایید تا در صورت وقوعDLL Hijacking تاثیر آن به سیستم میزبان گسترش نیابد.
  • اسکن و تست امنیتی: سیستم‌ها را با ابزارهای اسکن امنیتی مانند Malwarebytes یا Windows Defender برای شناسایی DLLهای مخرب اسکن کنید. همچنین، تست‌های نفوذ لوکال برای شبیه‌سازی حملات DLL Hijacking انجام دهید و سناریوهای مختلف نصب و استقرار DLL در مسیرهای جستجو را ارزیابی کنید. این کار به شما کمک می‌کند تا آسیب‌پذیری‌ها و نقاط ضعف موجود را شبیه‌سازی کرده و آن‌ها را رفع کنید.
  • سیاست‌های امنیتی کلی: نصب نرم‌افزارهای شخص ثالث را از منابع معتبر محدود کنید و اصل حداقل دسترسی را برای حساب‌های کاربری اعمال نمایید؛ تیم‌های IT را در مورد ریسک‌های DLL Hijacking در اپلیکیشن‌های مدیریت سیستم آموزش دهید و به‌روزرسانی‌های ماهانه را اجباری سازید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی فوری به نسخه‌های پچ‌شده، سطح امنیت دستگاه‌های مبتنی بر Lenovo PC Manager را به‌طور چشمگیری افزایش می‌دهد و از حملات لوکال جلوگیری می‌کند. در کنار به‌روزرسانی‌ها، نظارت مستمر بر سیستم و پیاده‌سازی اقدامات پیشگیرانه برای کاهش ریسک بهره‌برداری از آسیب‌پذیری‌ها ضروری است.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
در این سناریو نقطه ورود از طریق دسترسی لوکالِ کاربر احراز‌هویت‌شده ایجاد می‌شود؛ مهاجم نیاز دارد حداقل یک حساب کم‌سطح روی ویندوز داشته باشد تا بتواند DLL مخرب را در مسیر جستجوی برنامه قرار دهد. این مسیر معمولاً شامل دایرکتوری‌های قابل‌نوشتن کاربر است و نیازمند هیچ تعامل اضافی از سمت کاربر مجاز نیست.

Execution (TA0002)
اجرای کد از طریق بارگذاری خودکار DLL در فرآیند Lenovo PC Manager انجام می‌شود. برنامه با استفاده از LoadLibrary بدون مسیر کامل، DLL را از یک دایرکتوری ناامن بارگذاری می‌کند و همین باعث اجرای مستقیم کد مهاجم می‌شود.

Privilege Escalation (TA0004)
هسته آسیب‌پذیری همینجاست؛ DLL Hijacking باعث می‌شود کد مهاجم با سطح دسترسی بالاتر از سطح فعلی کاربر اجرا شود. این ارتقای سطح دسترسی می‌تواند شامل SYSTEM یا دسترسی سرویس‌های مدیریتی باشد.

Collection (TA0009)
پس از افزایش سطح دسترسی، مهاجم می‌تواند به فایل‌های حساس، کرش‌دامپ‌ها، کلیدهای رجیستری و داده‌های اپلیکیشن‌ها دسترسی پیدا کند.

Impact (TA0040)
نتیجه نهایی اجرای کد با سطح دسترسی بالا است: نقض محرمانگی، دستکاری یکپارچگی فایل‌ها و اختلال در سرویس با امکان نصب سرویس‌های مخرب یا خاموش کردن کامپوننت‌های امنیتی LPE از نتایج ممکن است.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-10581
  2. https://www.cvedetails.com/cve/CVE-2025-10581/
  3. https://iknow.lenovo.com.cn/detail/432378
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10581
  5. https://vuldb.com/?id.328722
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-10581
  7. https://cwe.mitre.org/data/definitions/427.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.