Se ha publicado un proof-of-concept (PoC) explotable para una vulnerabilidad crítica en los drivers Lenovo Dispatcher que permite a un atacante con acceso local escalar privilegios y ejecutar código en modo kernel. La falla, registrada como CVE-2025-8061, afecta a las versiones del driver LnvMSRIO.sys hasta la 3.1.0.36.
Detalles Técnicos y Mecanismo de Explotación (CVE-2025-8061)
La vulnerabilidad aprovecha una debilidad fundamental en la capa de interacción entre el hardware y el sistema operativo.
- Naturaleza de la Falla: Es una falta de controles de acceso en una interfaz IOCTL (Input/Output Control) expuesta. Esto permite que un usuario local manipule el driver y desencadene la ejecución de código en modo kernel, logrando la Escalada de Privilegios Local (LPE) con una puntuación CVSS 4.0 de 7.3 (Alta).
- Requisito: La explotación requiere que el atacante ya tenga acceso local autenticado (una cuenta de usuario estándar) en el dispositivo Lenovo. No es una vulnerabilidad remota por sí sola.
- Esquema del Exploit: El PoC aprovecha la capacidad del driver para leer Registros Específicos del Modelo (MSR), concretamente LSTAR (0xC0000082). Esto permite al atacante derivar direcciones del kernel (eludiendo el ASLR) para inyectar shellcode que roba el token del proceso SYSTEM, otorgando privilegios completos al atacante. En algunos casos, el exploit también puede desactivar protecciones como SMEP (Supervisor Mode Execution Protection).
Recomendaciones
- Aplicación de Parches (Crítico)
- Actualizar Driver Dispatcher: Asegúrate de que los drivers Dispatcher de Lenovo estén en la versión 3.1.0.41 o superior. Esta versión, liberada en septiembre de 2025, corrige la CVE-2025-8061.
- Verificación: Consulta el sitio oficial de Lenovo Security Advisories para confirmar que todas las versiones instaladas estén actualizadas.
- Endurecimiento del Sistema Operativo
- Habilitar Integridad de Memoria (HVCI): Si tu sistema Windows lo soporta, activa la Integridad de Memoria (Memory Integrity / HVCI). Esta característica de seguridad basada en virtualización puede dificultar o bloquear la explotación de drivers maliciosos.
- Restringir Permisos: Evitar otorgar privilegios innecesarios a cuentas locales; usar cuentas estándar en la mayoría de los casos.
- Monitoreo Activo del Endpoint
- Monitoreo de IOCTL: Configurar alertas en soluciones EDR/EDP para detectar llamadas inusuales al driver LnvMSRIO.sys o intentos de lectura/escritura de registros MSR desde procesos de usuario, lo que es un indicio clave de la explotación de este tipo de fallas.
- Revisar Necesidad del Driver: Si el driver Dispatcher no es esencial para las operaciones, considera su desinstalación o bloqueo.
