- شناسه CVE-2025-9201 :CVE
- CWE-427 :CWE
- yes :Advisory
- منتشر شده: سپتامبر 11, 2025
- به روز شده: سپتامبر 11, 2025
- امتیاز: 7.8
- نوع حمله: DLL Hijacking
- اثر گذاری: Code Execution with Elevated Privileges
- حوزه: مرورگرها
- برند: Lenovo
- محصول: Browser
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری DLL Hijacking در مرورگر اختصاصی لنوو (Lenovo Browser) به کاربر لوکال با دسترسی پایین اجازه میدهد با قرار دادن DLL مخرب در مسیر جستجوی پیشفرض ویندوز، کد دلخواه را با سطح دسترسی بالا اجرا کند.
توضیحات
آسیبپذیری CVE-2025-9201 از نوع مسیر جستوجوی کنترل نشده مطابق با CWE-427 در مرورگر اختصاصی Lenovo Browser است. این مرورگر که بر پایه Chromium توسعه یافته، در هنگام اجرا یا بارگذاری برخی کامپوننت های داخلی، DLLهای مورد نیاز خود را از مسیرهای موجود در متغیر PATH یا دایرکتوریهای قابلنوشتن توسط کاربر (مانند پوشههای موقت یا دانلود) جستوجو میکند؛ درحالیکه ترتیب جستوجو ایمن نیست و میتواند باعث بارگذاری DLL از مسیرهای ناامن شود. همچنین برنامه پیش از استفاده از مسیرهای محافظتشده سیستمی، به مسیرهایی رجوع میکند که کاربر عادی قادر به نوشتن در آنها است.
در این وضعیت، یک مهاجم لوکال با سطح دسترسی پایین میتواند DLL مخربی را با همان نام DLL مورد انتظار برنامه در یکی از این مسیرهای ناامن قرار دهد. هنگام اجرای Lenovo Browser یا بارگذاری کامپوننت آسیبپذیر، DLL مخرب بهجای DLL اصلی بارگذاری شده و مهاجم قادر خواهد بود کد دلخواه خود را با سطح دسترسی بالاتر اجرا کند. این مسئله میتواند منجر به افزایش سطح دسترسی (Privilege Escalation)، دور زدن مکانیزمهای امنیتی ویندوز مانند UAC، نصب بدافزار یا بکدور و در نهایت کنترل کامل سیستم شود.
این آسیبپذیری نیازی به تعامل کاربر ندارد؛ به این معنا که پس از قرارگیری DLL مخرب در مسیر هدف، هر بار که برنامه بهطور عادی اجرا شود یا کامپوننت مربوطه بارگذاری گردد، حمله بدون نیاز به اقدام اضافی کاربر انجام میشود. ابزارهای رایجی مانند ProcMon یا اسکریپتهای تشخیص DLL Hijacking نیز میتوانند مسیرهای ناامن را بهسادگی شناسایی کرده و بهرهبرداری از این ضعف را کاملاً خودکار کنند. لنوو این آسیبپذیری را در نسخه 9.0.6.8111 با اصلاح ترتیب جستوجوی DLLها و فعالسازی کامل Safe DLL Search Mode در ویندوز پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 8.5 | HIGH | 4.0 | CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
| 7.8 | HIGH | 3.1 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 0 before 9.0.6.8111 | Browser |
لیست محصولات بروز شده
| Versions | Product |
| 9.0.6.8111 | Browser |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Lenovo را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 2,470,000 | site:.ir “Lenovo” | Lenovo |
نتیجه گیری
این آسیبپذیری با شدت بالا از نوع DLL Hijacking در مرورگر اختصاصی Lenovo Browser است و میتواند به مهاجم لوکال اجازه دهد کد دلخواه خود را با سطح دسترسی بالاتر اجرا کند. با توجه به انتشار پچ رسمی، اجرای فوری اقدامات زیر برای جلوگیری از بهره برداری و کاهش ریسک ضروری است:
- بهروزرسانی فوری: تمام دستگاههای لنوو شامل لپتاپها، دسکتاپها، ThinkPad و ThinkCentre که روی آنها Lenovo Browser نصب است باید فوراً به نسخه 9.0.6.8111 یا بالاتر بهروزرسانی شوند. این اقدام، مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و میتوانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
- حذف یا غیرفعالسازی Lenovo Browser در صورت عدم نیاز: در محیطهای سازمانی، اگر Lenovo Browser کاربردی ندارد، توصیه میشود آن را حذف کرده یا اجرای آن را مسدود کنید. استفاده از مرورگرهای امنتر مانند Microsoft Edge یا Google Chrome پیشنهاد میشود.
- اعمال سیاستهای محدودکننده اجرای برنامه (AppLocker / SRP): با استفاده از AppLocker یا Software Restriction Policies (SRP) ویندوز، اجرای Lenovo Browser از مسیرهای غیراستاندارد، مانند پوشه دانلودها یا سایر دایرکتوریهای قابلنوشتن کاربر را مسدود کنید.
- محدودسازی دسترسی کاربران: کاربران باید در گروه Users (کاربران عادی) باقی بمانند و در گروه Administrators قرار نگیرند. همچنین توصیه میشود با استفاده از WDAC یا Device Guard، اجرای برنامهها از دایرکتوریهای قابلنوشتن کاربر محدود شود.
- اسکن و مانیتورینگ: با ابزارهایی مانند Sysinternals Process Monitor یا Microsoft Attack Surface Analyzer بررسی کنید که آیا DLLهای مخرب در مسیرهای ناامن قرار گرفتهاند یا خیر.
- آموزش کاربران: کاربران را از اجرای فایلها و شورتکاتهای ناشناس بهخصوص فایلهایی که از مسیرهای قابلنوشتن بارگذاری میشوند، منع کنید.
بهروزرسانی فوری یا حذف کامل Lenovo Browser، مؤثرترین راه برای جلوگیری از سوءاستفاده از این آسیبپذیری است. اجرای این اقدامات باعث میشود ریسک حمله بهطور چشمگیری کاهش یابد و امنیت دستگاههای لنوو حفظ شود.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
در این سناریو مهاجم از مسیرهای قابلنوشتن کاربر برای قرار دادن DLL مخرب استفاده میکند. این یک نقطه ورود محلی محسوب میشود و معمولاً پس از دسترسی اولیه به سیستم اجرا میشود.
Execution (TA0002)
DLL مخرب هنگام اجرای Lenovo Browser توسط پروسه اصلی لود میشود و مهاجم کد خود را در کانتکست برنامه تزریق میکند.
Privilege Escalation (TA0004)
بارگذاری DLL از مسیر ناامن به مهاجم اجازه میدهد کد را با سطح دسترسی بالاتر اجرا کند.
Defense Evasion (TA0005)
DLL Hijacking ذاتاً یک روش فرار از دفاع است چون اجرای کد در قالب پروسه معتبر انجام میشود. فعالسازی Safe DLL Search Mode و محدودسازی مسیرهای قابلنوشتن کاربر مانع از سوءاستفاده در این مرحله میشود.
Persistence (TA0003)
قرار دادن DLL مخرب در مسیرهایی که مرورگر در هر اجرا به آنها مراجعه میکند، یک پایداری مبتنی بر Side-loading محسوب میشود.
Impact (TA0040)
اجرای کد با سطح دسترسی بالا میتواند منجر به کنترل کامل سیستم، نصب بدافزار یا تغییرات پایدار شود. پچ رسمی لنوو خطر را بهطور کامل حذف کرده و تنها اقدام قطعی است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-9201
- https://www.cvedetails.com/cve/CVE-2025-9201/
- https://iknow.lenovo.com.cn/detail/431735
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9201
- https://vuldb.com/?id.323731
- https://nvd.nist.gov/vuln/detail/CVE-2025-9201
- https://cwe.mitre.org/data/definitions/427.html
