Sebuah kerentanan kritis pada driver Lenovo Dispatcher kembali menjadi sorotan setelah peneliti merilis proof-of-concept (PoC) yang menunjukkan eskalasi hak istimewa (privilege escalation) pada sistem Windows yang terdampak.
Baca Juga : QR Code Palsu Jadi Senjata Baru Hacker untuk Serang Akun Microsoft Kalian
Dikenal sebagai CVE-2025-8061, kelemahan ini berasal dari kontrol akses yang tidak memadai di driver, sehingga memungkinkan penyerang lokal menjalankan kode arbitrary dengan hak istimewa meningkat.
Ditemukan oleh firma keamanan Quarkslab, masalah ini memengaruhi notebook konsumer Lenovo yang menjalankan versi driver lama menimbulkan alarm bagi pengguna yang belum menginstal patch terbaru.
Rincian Kerentanan
Driver Lenovo Dispatcher versi 3.0 dan 3.1 mengelola beberapa proses sistem pada notebook konsumer tertentu, namun mengekspos antarmuka IOCTL tanpa pembatasan akses yang memadai. Kekurangan ini, diklasifikasikan di bawah CWE-782, memungkinkan pengguna lokal terautentikasi memanipulasi driver dan memicu eksekusi kode di mode kernel yang berpotensi mengakibatkan kompromi sistem penuh.
Database Kerentanan Nasional menilai masalah ini dengan CVSS 4.0: 7.3 (High), mencatat dampak tinggi terhadap kerahasiaan, integritas, dan ketersediaan meski eksploitasi memerlukan akses lokal dan kompleksitas serangan yang tinggi.
Sistem terdampak adalah yang menggunakan driver LnvMSRIO.sys sampai versi 3.1.0.36, umumnya ditemukan di laptop Lenovo yang dilengkapi Windows 10 atau build Windows 11 lama tanpa mitigasi default. Versi Lenovo Dispatcher 3.2 ke atas tidak terpengaruh; Lenovo memperbaiki celah ini di versi 3.1.0.41 yang dirilis pada September 2025.
Penting: mengaktifkan Windows Core Isolation Memory Integrity dapat memblokir eksploitasi ini. Fitur ini aktif secara default pada beberapa sistem Windows 11 Lenovo, sehingga mengurangi risiko nyata bagi pengguna yang sudah terbarui.
Ringkasan:
-
Produk terdampak: Lenovo Dispatcher Driver 3.0, 3.1 (LnvMSRIO.sys sampai 3.1.0.36)
-
Dampak: Eskalasi hak lokal ke mode kernel, potensi kontrol sistem penuh
-
Prasyarat eksploit: Akses pengguna terautentikasi lokal; Core Isolation non-aktif; build Windows tertentu (mis. 24H2 tanpa HVCI)
-
Skor CVSS: CVSS 4.0 = 7.3 (Tinggi)
Eksploitasi dalam Praktik
Peneliti keamanan Luis Casvella dari Quarkslab memaparkan exploit ini dalam posting blog September 2025, menjelaskan bagaimana penyerang memanfaatkan MSR read primitive driver untuk membocorkan alamat kernel seperti KiSystemCall64 lewat register LSTAR (MSR 0xC0000082).
Informasi tersebut memungkinkan pengelakan ASLR dan SMEP, dengan PoC menunjukkan shellcode untuk token stealing yang meniru proses SYSTEM.
Repositori GitHub oleh symeonp menyediakan PoC yang berjalan, yang membuka shell SYSTEM pada Windows 11 24H2—hardcoded untuk build 26100.1 dan memerlukan penyesuaian offset (mis. KiSystemCall64 pada 0x6b2b40) serta manipulasi CR4 untuk menonaktifkan SMEP (bit 20).
Tekniknya melibatkan pembacaan MSR untuk menemukan syscall, injeksi shellcode yang menavigasi struktur kernel seperti _KPCR dan EPROCESS untuk manipulasi token, dan pemulihan register (CR4, LSTAR) agar sistem tidak crash.
Casvella juga mencatat empat bug terkait di driver, menekankan taktik BYOVD (Bring Your Own Vulnerable Driver) di mana driver bertanda tangan mengelabui DSE untuk tahap pasca-eksploitasi.
Walau belum ada laporan eksploitasi liar di alam, PoC publik ini memperlihatkan betapa mudahnya adaptasi oleh tim merah atau penulis malware terhadap perangkat Lenovo yang belum ditambal.
Baca Juga : Windows 10 Stop Update! Dapatkan Tambahan Support Gratis Setahun
Apa yang Harus Dilakukan?
Lenovo menganjurkan pembaruan segera ke Dispatcher Driver 3.1.0.41 atau lebih baru via Windows Update atau situs dukungan mereka. Selain itu, periksa Core Isolation di Windows Security → Device Security dan aktifkan Memory Integrity jika dinonaktifkan langkah ini efektif memblokir banyak eksploit kernel tanpa dampak kinerja signifikan pada hardware modern.
Organisasi juga disarankan memindai driver rentan dengan tool pihak ketiga (mis. dari AhnLab) dan memonitor anomali IOCTL pada endpoint. Penemuan ini menegaskan pentingnya manajemen driver yang ketat di lingkungan enterprise — segera bertindak untuk menutup celah eskalasi hak sebelum dimanfaatkan.
