这篇博文记录了我在 Lenovo 机器上的一个小发现：C:\Windows目录下存在一个可写文件。最初我以为只有少数几款 Lenovo 机型受影响，但后来发现这个问题似乎波及所有型号。

问题

当我运行 accesschk 脚本 时，发现该文件对任何已认证用户都是可写的。

随后我在 Explorer 中查看了 ACL 以再次确认。这进一步证实：标准已认证用户既能写入也能执行该文件。如果你的环境中部署了 AppLocker 默认规则，它会允许执行 C:Windows 目录下的任何内容；因此 mfgstat.zip 就成了问题，因为标准用户可以利用它进行攻击。

要将其作为绕过手段，用户需要将某个二进制文件的内容写入到 Alternate Data Stream (ADS) 中，然后执行该 ADS。我还没能直接覆盖这个 zip 文件（也许可以）。关于如何添加 ADS 以及执行 ADS 的各种方法，可以参考这里。

在这个示例中，我选择执行 Sysinternals 的 autoruns.exe。我先把 autoruns.exe放到 c:temp ，然后使用以下命令将它作为 ADS 写入 mfgstat.zip ：

type c:\temp\autoruns.exe > c:\windows\mfgstat.zip:this

成功添加后，我使用 Appvlp.exe （lolbas 详情见链接）执行它，命令如下：

"C:\Program Files (x86)\Microsoft Office\root\Client\appvlp.exe" c:\Windows\mfgstat.zip:this

为了更直观，我录制了一段简短的演示视频。

https://www.youtube.com/embed/uIQIMEvwlh4

经过

我最早是在 2019 年的一台 Lenovo 机器上发现这个问题的，当时也在 Twitter/X 上发过：https://x.com/Oddvarmoe/status/1126473466235035650。那时候我以为这只是我那台 Lenovo X1 Extreme 的个例；但在 2025 年我在新买的 Lenovo 机器上复查时，惊讶地发现同样的问题依然存在（https://x.com/Oddvarmoe/status/1882026713397522873）。

这一次我决定给 Lenovo PSIRT 发邮件，看看他们是否会修复。对方回复很快，但他们选择不发布修复补丁，而是给出了一份移除指南。从企业角度看，这个决定也许可以理解：多数公司都会自行部署操作系统，而不是依赖 Lenovo 出厂预装的系统。使用公司标准镜像重新部署操作系统会移除这个文件，因为它仅存在于 Lenovo 随机出厂的默认系统镜像中。

修复

Lenovo 在这里提供了修复指南：https://support.lenovo.com/us/en/product_security/HT517812。指南的核心很简单：使用文中说明的三种方法之一删除 C:\Windows\MFGSTAT.zip。如果你在企业环境中，也可以利用 Group Policy Preferences、SCCM 或其他工具来移除该文件。

结论

我的结论是：在部署或已经部署 AppLocker 时，所有人都应该检查自己的文件系统。这类细小但关键的点非常容易被忽略。如果你对 AppLocker 更感兴趣，我之前做过一个 webinar，值得一看。希望这篇文章对你有帮助。

第 1 部分：https://www.youtube.com/embed/582pdWRbhpw

第 2 部分：https://www.youtube.com/embed/JtsgvOLhLJs

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）