微软发布史上最大规模补丁日,同日曝出Windows零日漏洞

就在微软发布创纪录数量的安全补丁当天,一名匿名研究员公开了一个名为HiveLegacy的Windows提权漏洞利用代码。该漏洞存在于Windows用户配置文件服务中,允许低权限用户通过修改管理员账户的注册表配置单元来控制其账户。微软表示已知晓该漏洞并正在调查。目前用户可通过运行独立研究员Kevin Beaumont发布的检测脚本,或限制本地非用户账户创建、监控相关异常活动来进行防护。

就在微软发布创纪录数量的安全补丁后不久,一名研究人员公开了一段漏洞利用代码。该代码可使低权限的Windows账户对管理员账户进行敏感操作。

多名研究人员确认该漏洞利用代码有效,微软再度陷入被动,不得不紧急应对这一由匿名研究人员发布的零日漏洞。这名研究人员曾多次对微软处理漏洞报告的方式表示不满。迄今为止,使用化名"NightmareEclypse"的该研究人员已发布九个此类漏洞利用代码,本周二公开的"HiveLegacy"便是其中最新的一个。该研究人员表示,报告中包含的概念验证代码已经过删减,以防止攻击者将其用于恶意目的。

HiveLegacy是一个针对Windows用户配置文件服务中漏洞的权限提升利用工具。它允许拥有有限系统权限的用户(以及经过更多操作可能涉及的进程),通过修改管理员账户的类注册表配置单元来入侵该账户。这一资源负责确保在Windows资源管理器中点击特定类型文件时,系统能够调用正确的应用程序。

从最低限度来看,攻击者可以修改与管理员账户相关联的Windows注册表。就当前的利用代码而言,攻击者需要知道另一名用户的凭据(该账户无需具备管理员权限),同时还需要知道系统上第三个账户的用户名(同样不限于是否具有管理员权限)。

Tharros Labs高级主任漏洞分析师Will Dormann在接受采访时表示:"如果攻击者能够设置系统,使其在管理员用户登录时运行自己的代码,那实际上就相当于拥有了管理员权限,而无需自己成为管理员。"

他在一篇文章中指出:"非管理员用户能够修改管理员用户的类注册表配置单元,这是一种相当强大的攻击原语。聪明的攻击者或有明确意图的人,很容易就能利用它实现更多危险操作,甚至无需任何用户交互。"

Dormann还表示,该漏洞利用代码有可能与另一个独立漏洞形成链式组合,从而直接获取管理员账户的访问权限。

另一位分析师在文章中解释道:"当新用户登录时,Windows需要加载该用户的类配置单元。由于用户在登录之前尚未登录(这听起来像废话,我知道),无法在用户上下文中加载,因此只能在NT AUTHORITY\SYSTEM的上下文中加载。HiveLegacy正是利用了这一机制。"

微软在一份电子邮件声明中表示,公司已知悉该漏洞报告并正在展开调查,同时重申了其对漏洞报告者遵循协调披露政策的期望。

目前,希望保护系统免受HiveLegacy攻击的Windows用户,可以运行独立研究人员Kevin Beaumont发布的检测脚本。其他防御措施包括:限制本地非用户账户的创建、监控ProfSvc中的异常配置单元加载行为,以及追踪NTUSER.DAT和UsrClass.dat的相关活动。

Q&A

Q1:HiveLegacy漏洞是什么?它有什么危害?

A:HiveLegacy是一个针对Windows用户配置文件服务的权限提升漏洞利用工具。它允许低权限用户通过修改管理员账户的类注册表配置单元,实现对管理员账户的入侵,最终在无需拥有管理员权限的情况下,以管理员身份执行代码。该漏洞还可能与其他漏洞形成链式组合,危害更为严重。

Q2:HiveLegacy漏洞利用需要哪些前提条件?

A:攻击者需要满足以下条件:首先需要知道系统上另一名用户的账户凭据(该账户无需具备管理员权限),同时还需要知道第三个账户的用户名。在此基础上,攻击者才能利用Windows加载用户类配置单元的机制发动攻击。

Q3:如何防御HiveLegacy漏洞?

A:目前微软尚未发布官方补丁,但有几种临时防御方法可供参考:运行由独立研究人员Kevin Beaumont发布的检测脚本;限制本地非用户账户的创建;监控ProfSvc服务中的异常配置单元加载行为;以及持续追踪NTUSER.DAT和UsrClass.dat文件的相关活动。

来源:ArsTechnica

0赞

好文章,需要你的鼓励

2026

07/16

16:27

分享

点赞

邮件订阅