研究人员在微软补丁星期二发布数小时后公开新的Windows零日漏洞PoC

研究人员在微软补丁星期二发布数小时后公开新的Windows零日漏洞PoC

导语:安全研究人员Chaotic Eclipse(Nightmare-Eclipse)在微软2026年7月补丁星期二发布仅数小时后,便公开了名为LegacyHive的Windows用户配置文件服务(ProfSvc)权限提升零日漏洞PoC。该漏洞影响所有受支持的Windows桌面和服务器版本。与此同时,微软本月共修补了创纪录的622个漏洞,其中SharePoint Server和Active Directory Federation Services的两个权限提升缺陷已被CISA列入KEV目录,并被标记为遭在野利用。

安全研究人员Chaotic Eclipse(又名Nightmare-Eclipse)发布了一个名为LegacyHive的新概念验证(PoC)漏洞利用代码。该漏洞被描述为Windows用户配置文件服务(Windows User Profile Service)任意hive加载权限提升漏洞。Windows用户配置文件服务,又称ProfSvc,是负责管理用户账户和环境的系统核心组件。

Chaotic Eclipse表示:"该PoC需要另一个普通用户的凭据以及一个第三方用户名(可以是管理员账户)。如果PoC执行成功,它将在当前用户的classes root中挂载目标用户的hive。"研究人员补充称,这一漏洞利用代码经过了精简以防止公开利用,并指出原始漏洞利用代码不需要额外的用户凭据,且不仅限于"usrclass.dat"hive。

研究人员指出:"使用该漏洞可以加载任何hive,但你需要动点脑子才能让PoC做到这一点。"值得注意的另一点是,该漏洞利用代码在所有受支持的桌面版和服务器版Windows系统上均可运行,包括已安装最新2026年7月补丁星期二(Patch Tuesday)更新的系统。

Chaotic Eclipse与微软之间的激烈争执至少从2026年4月就已经开始。研究人员多次在微软有机会修补漏洞之前公开多个漏洞的细节,理由是双方沟通已经破裂。其中微软Defender的三个漏洞在公开披露后不久就遭到在野利用。

本月早些时候,这家科技巨头发布了针对另一项名为RoguePlanet的Defender漏洞的安全更新,该漏洞同样由Chaotic Eclipse披露。然而,随后发现为修复该缺陷而新引入的"纵深防御更新"在某些场景下尝试打开文件时,可能导致Microsoft Defender泄露8字节数据。微软告诉The Hacker News称正在调查这一新报告。微软发言人表示:"微软已获悉所报告的漏洞,并正在积极调查这些声明的有效性和潜在适用性。微软致力于调查安全问题,并尽快更新受影响的产品以保护客户。"发言人还强调,公司"支持协调漏洞披露(Coordinated Vulnerability Disclosure),这是一项保护客户并支持研究社区的行业标准"。

原文配图

这一事件发生之际,微软已发布了创纪录的622个漏洞的安全补丁,其中SharePoint Server(CVE-2026-56164,CVSS评分:5.3)和Active Directory Federation Services(CVE-2026-56155,CVSS评分:7.8)中的两个权限提升缺陷已被标记为遭在野利用。美国网络安全和基础设施安全局(CISA)已将这两个漏洞添加到其已知被利用漏洞(KEV)目录中,要求联邦民用行政分支机构(FCEB)分别在2026年7月17日和7月28日前完成修复。

Rapid7首席软件工程师Adam Barnett在一份声明中表示:"经过多年的相对稳定之后,2026年的补丁星期二流程经历了重大动荡。除了由AI驱动的漏洞报告和发现的指数级增长外,微软还在应对一系列以给雷德蒙德(微软总部)造成最大不适的方式被披露的漏洞的出现。"

CISA在另一份公告中表示,已获悉多个SharePoint Server漏洞遭在野利用,包括CVE-2026-32201、CVE-2026-45659和CVE-2026-56164,这些漏洞使网络威胁行为者能够获得对易受攻击实例的未授权访问。

CISA指出:"这些漏洞影响所有受支持的本地部署SharePoint Server版本(订阅版、2019版和2016版),涉及建立远程代码执行(RCE)以及后利用活动,例如窃取Internet Information Services(IIS)机器密钥并执行反序列化技术,以获取持久性并部署恶意软件。"

针对CVE-2026-56164,Action1的CEO兼联合创始人Alex Vovk表示:"该漏洞源于关键功能缺少身份验证,使攻击者能够访问本应需要授权的功能。攻击者可以发送精心构造的网络请求来访问本应需要身份验证的功能,从而导致权限提升。该漏洞主要影响系统完整性,因为它允许在无需事先身份验证或用户交互的情况下执行未经授权的操作。面向互联网的SharePoint服务器尤其面临风险,因为攻击可以在没有有效凭据的情况下远程执行。"


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/researcher-drops-new-windows-zero-day.html

作者:info@thehackernews.com (The Hacker News)