Для Windows опубликован zero-day-эксплойт HiveLegacy после крупного выпуска патчей Microsoft
Эксплойт позволяет учетным записям Windows с низкими привилегиями вносить чувствительные изменения в учетные записи администраторов. Microsoft заявила, что изучает сообщение об уязвимости
Один основной источник · Как мы проверяем новости

Что произошло
Вскоре после того, как Microsoft выпустила рекордное число исправлений безопасности, исследователь опубликовал код эксплойта, который может позволить учетным записям Windows с низкими привилегиями вносить чувствительные изменения в учетные записи администраторов.
Несколько исследователей заявили, что эксплойт работает. Microsoft, по данным материала, снова вынуждена готовить исправление для zero-day, опубликованного анонимным исследователем, который ранее жаловался на то, как компания обрабатывает его сообщения об ошибках.
Как работает HiveLegacy
HiveLegacy — это эксплойт повышения привилегий, который использует уязвимость в Windows User Profile Service. Он позволяет пользователям с ограниченными системными правами, а при дополнительной доработке, вероятно, и процессам, скомпрометировать учетную запись администратора через изменение classes registry hive.
Этот ресурс отвечает за то, какое приложение открывается при нажатии на определенные типы файлов в Windows Explorer. Как минимум атакующий может изменить реестр Windows, связанный с учетной записью администратора.
В текущем виде эксплойт требует, чтобы атакующий знал учетные данные другого пользователя. Также нужно знать имя третьей учетной записи на той же машине; она может быть как с правами администратора, так и без них.
Почему это важно
Старший аналитик уязвимостей Tharros Labs Will Dormann объяснил, что если атакующий может настроить систему так, чтобы его код запускался при входе администратора, он фактически получает административные привилегии, даже не будучи администратором.
Dormann также назвал возможность неадминистративного пользователя изменять classes registry hive администратора мощным примитивом. По его словам, атакующие могут найти более сложные способы применения, в том числе без взаимодействия с пользователем.
Он допустил, что HiveLegacy можно объединить с другим эксплойтом, который дает прямой доступ к административной учетной записи.
Реакция Microsoft и меры защиты
Microsoft в заявлении по электронной почте сообщила, что знает об отчете об уязвимости и расследует его. Компания также отметила, что предпочитает, чтобы исследователи следовали политике координированного раскрытия уязвимостей.
Пользователям Windows, которые хотят защититься от HiveLegacy, предлагается запустить скрипт обнаружения, опубликованный независимым исследователем Kevin Beaumont. Среди других мер — ограничение создания локальных учетных записей, мониторинг ProfSvc на неожиданные загрузки hive и отслеживание активности NTUSER.DAT/UsrClass.dat.
Источники
Один основной источник. Как мы проверяем новости


