كشف باحث أمني عن إمكانية استغلال برنامج تشغيل موقع من Lenovo لتعطيل عمليات الحماية الطرفية، بما في ذلك بعض عمليات EDR ومكافحة الفيروسات، عبر أسلوب يندرج ضمن هجمات إحضار برنامج تشغيل ضعيف BYOVD.
ووفقاً للتفاصيل المنشورة، يستهدف الأسلوب برنامج التشغيل BootRepair.sys المرتبط ببرنامج Lenovo PC Manager. وتكمن الخطورة في أن البرنامج ينشئ كائن جهاز باسم \\.\BootRepair من دون ضوابط وصول كافية، ثم يقبل أمراً محدداً من نمط IOCTL يمرر معرّف العملية PID، قبل أن يستدعي وظائف على مستوى النواة تنتهي بتنفيذ ZwTerminateProcess لإيقاف العملية المستهدفة.
وتشير المعطيات الفنية إلى أن برنامج التشغيل يحمل توقيعاً رقمياً من Lenovo، وأن العينة المشار إليها جُمعت في 3 يناير 2018، مع بصمة SHA-256 هي 5ab36c116767eaae53a466fbc2dae7cfd608ed77721f65e83312037fbd57c946. كما رصدت قاعدة LOLDrivers العينة ضمن فئة برامج التشغيل القادرة على قتل العمليات، ووصفتها بأنها مرتبطة بأداة PhantomKiller المنشورة حديثاً.
وتبرز خطورة السيناريو في حالتين أساسيتين: الأولى عندما يكون برنامج التشغيل محملاً بالفعل على الجهاز، إذ قد يتمكن مستخدم منخفض الصلاحيات من فتح كائن الجهاز وإرسال معرّف عملية لإيقافها. أما الحالة الثانية فتتمثل في تحميل برنامج التشغيل الموقع ضمن هجوم BYOVD، ثم استخدامه لتعطيل أدوات المراقبة والحماية قبل تنفيذ مراحل لاحقة من الهجوم.
ولا يعني ذلك بالضرورة وجود استغلال واسع النطاق في الهجمات الفعلية حتى الآن، لكنه يسلط الضوء على مشكلة متكررة في بيئات Windows، حيث يمكن لبرامج تشغيل شرعية وموقعة رقمياً أن تتحول إلى أداة لتجاوز آليات الحماية إذا تضمنت وظائف حساسة من دون تحقق كافٍ من الصلاحيات أو هوية المستدعي.
وتوصي المعالجة الدفاعية بمراجعة وجود BootRepair.sys أو الملفات المطابقة لبصمته في بيئات العمل، وتقييد تحميل برامج التشغيل غير الضرورية، وتفعيل قوائم حظر برامج التشغيل الضعيفة في Windows عند الإمكان، إلى جانب مراقبة أنماط إنشاء الخدمات الخاصة ببرامج التشغيل ومحاولات إنهاء عمليات أدوات الحماية بصورة مفاجئة.
