新的 Windows LegacyHive 零日漏洞使黑客获得管理员权限
导语:一名使用 "Nightmare Eclipse" 昵称的安全研究人员公开了一款名为 LegacyHive 的 Windows 零日漏洞利用程序。该漏洞位于 Windows 用户配置文件服务(Windows User Profile Service)中,尚未分配 CVE 编号,可在已更新 Windows 系统上实现本地权限提升,获取管理员级别的访问权限。微软表示已获悉相关报告,正在积极调查。
一名使用 "Nightmare Eclipse" 昵称的安全研究人员发布了一款名为 LegacyHive 的 Windows 零日漏洞利用程序。该漏洞利用程序允许攻击者在已安装最新更新的 Windows 系统上进行权限提升,从而获取管理员级别的访问权限。这一披露再次凸显了 Windows 平台持续面临的安全挑战。
Nightmare Eclipse 在微软发布 7 月 Patch Tuesday 更新数小时后,公开了该概念验证(PoC)利用代码。该研究人员表示,LegacyHive 利用了 Windows 用户配置文件服务(Windows User Profile Service)中的一个安全漏洞,该漏洞目前尚未获得 CVE 编号,因此难以进行追踪和管理。这意味着安全社区和防御方暂时无法通过标准的漏洞标识系统来识别和应对该威胁。
与 Nightmare Eclipse 此前发布的漏洞利用程序不同的是,LegacyHive 的 PoC 代码经过修改,使用时需要额外的凭据信息,从而增加了攻击者武器化该漏洞的难度。研究人员解释说:"该 PoC 需要另一个标准用户的凭据以及第三个用户名(可以是管理员账户)。如果 PoC 执行成功,它将在当前用户的 Classes 根目录下挂载目标用户的配置单元。"他还补充道:"PoC 经过精简处理,目的是防止公开利用。原始的 PoC 不需要额外的用户凭据,也不限于 usrclass.dat 配置单元,使用该漏洞可以加载任何配置单元,但要实现这一点需要动一些脑子。"

据漏洞分析公司 Tharros 的首席漏洞分析师 Will Dormann 在测试 LegacyHive 利用程序后的解释,成功利用该漏洞将允许非管理员用户修改 Classes 注册表配置单元,并在管理员账户登录受感染系统时自动执行代码。Dormann 指出:"举例来说,作为一个有趣的演示,我们可以将 .txt 文件关联为使用 calc.exe 打开。聪明的攻击者或希望完成特定任务的人将很容易找出如何执行更有趣或甚至不需要用户交互的操作。"
在 PoC 发布一天后,网络安全专家 Kevin Beaumont 也确认该漏洞利用程序确实有效,并在 Microsoft Defender for Endpoint(MDE)企业级端点安全平台上发布了 LegacyHive 漏洞利用的检测查询。这些检测规则可以帮助企业安全团队在其环境中识别潜在的利用尝试。
针对 BleepingComputer 关于 LegacyHive 漏洞利用的置评请求,微软发言人回应称:"微软已获悉所报告的漏洞,正在积极调查这些声明的有效性和潜在适用性。微软致力于调查安全问题,并尽快更新受影响的产品以保护客户。"发言人还强调:"重要的是,我们支持协调漏洞披露(Coordinated Vulnerability Disclosure),这是一项行业标准,它通过确保研究人员的发现在公开之前得到彻底调查和处理,从而保护客户并支持研究社区。"
来源信息
来源:BleepingComputer
作者:Sergiu Gatlan

