
Windows LegacyHive 零日漏洞曝光:低權限帳戶可改動管理員 registry hive
多用戶電腦風險較高,正式修補同影響版本仍待 Microsoft 確認
先講清楚:佢唔係一撳連結就中招
Microsoft 啱啱推出歷來最大規模嘅 Patch Tuesday,研究員 NightmareEclipse 同日就公開另一個未修補 Windows 漏洞 LegacyHive。根據 Ars Technica 報道,幾名研究員已確認公開概念驗證確實有效。不過,呢個係本機權限提升漏洞:攻擊者要先攞到低權限帳戶或者令目標電腦執行程式,先有機會再踩入權限較高嘅帳戶。暫時冇證據顯示漏洞已經用喺實際攻擊,亦唔應該包裝成遙距零互動入侵。
問題出喺 Windows 載入用戶 profile 嘅權限處理
問題出喺 Windows User Profile Service,亦即每次用戶登入時負責準備個人設定嗰個系統服務。Windows 會將部分設定存入 registry hive;LegacyHive 針對嘅位置涉及檔案關聯、Explorer 用咩程式開檔,同部分 COM 設定。研究員展示低權限用戶可以借系統服務嘅權限,將另一個用戶嘅 hive 載入自己可控制嘅位置,跟住改動原本唔應該掂到嘅資料。
呢個能力本身未等於即時取得完整管理員權限,但對攻擊者嚟講已經好有用。攻擊者如果再捉啱管理員登入或程式載入嘅時機,就可能影響管理員之後用咩程式開檔,甚至載入咩元件。研究員話公開版本已刻意削走部分能力;換句話講,公開程式展示到漏洞存在,實際可以延伸到幾遠仍待 Microsoft 完整分析,亦唔應該將研究員描述嘅最壞情況當成已證實攻擊鏈。
多用戶 Windows 主機風險較高
一般家用電腦如果得一個人使用,而且平時唔會執行來歷不明嘅程式,現階段風險相對有限。公司共用工作站、學校電腦室、跳板機、remote desktop server 同其他同時容許多個帳戶登入嘅環境就麻煩得多,因為低權限帳戶同管理員帳戶會喺同一部機輪流或同時出現,攻擊者較容易等到有價值嘅目標 profile 載入。
呢點亦解釋咗點解「普通帳戶冇 admin 權限」唔足以處理晒問題。標準帳戶本來係重要防線,照樣應該保留,但當作業系統服務錯誤處理跨帳戶嘅 profile 資料,帳戶之間嗰道牆就未必可靠。LegacyHive 要攻擊者先有低權限存取,唔係隔住網上就可以直接攻入部機。
未有正式修補,防守重點係收窄第一步
截至原文刊出時,LegacyHive 未見正式 CVE、Microsoft 公告、受影響版本清單或者官方 workaround;名稱亦一度出現 HiveLegacy 同 LegacyHive 兩種寫法,原始研究頁使用 LegacyHive。管理員唔好自行停用 User Profile Service、亂改 registry 權限或者搬走 profile 檔案,呢類做法未經驗證,好容易令登入、app 設定甚至整個用戶 profile 出問題。
而家較穩陣嘅做法,係限制邊啲普通帳戶可以本機或經 remote desktop 登入重要主機,管理員工作同日常使用分開帳戶,配合 app allowlisting、EDR 同電郵或下載檔案管制,減少不明程式有機會執行。保安團隊亦可以留意異常跨用戶登入、User Profile Service 活動、非預期 hive 載入,同埋登入前後突然出現嘅 registry classes 改動;不過暫時未有 Microsoft 官方偵測規則,告警條件要先喺測試環境調校,避免正常 profile 操作製造大量誤報。
七月更新照裝,LegacyHive 就另外追進度
Microsoft 七月更新修補數量有 570 同 622 兩個常見統計,差別主要來自點樣計算 Windows、Edge 同其他 Microsoft 產品;無論用邊個口徑,規模都創下紀錄。已推出嘅更新仍然要按風險盡快測試同部署,因為當中包括已遭利用嘅漏洞,但呢批更新唔代表 LegacyHive 已修好。管理多用戶 Windows 主機嗰班 IT,下一步係留意 MSRC Security Update Guide 同 Windows release health,一有正式 CVE、影響版本同修補資料就重新評估優先次序。
參考來源
- Ars Technica — Windows 0-day drops the same day Microsoft releases record number of patches — original report
- LegacyHive 原始研究頁 — 研究員原始披露位置,用嚟核對 LegacyHive 名稱、公開概念驗證限制同技術描述。
- Microsoft Security Update Guide — 核對 Microsoft 正式 CVE、安全公告同日後修補資料嘅官方入口。
- A note on Patch Tuesday — Microsoft 解釋近月漏洞報告同修補數量上升,以及自動化同 AI 輔助安全研究帶來嘅變化。
- Microsoft’s serial tormentor drops LegacyHive 0-day — 補充獨立保安研究員對公開概念驗證能力、實際攻擊門檻同完整入侵鏈嘅分析。
- Microsoft July 2026 Patch Tuesday fixes massive 570 flaws, 3 zero-days — 補充七月 Patch Tuesday 嘅統計口徑、零日漏洞數量同已遭利用情況。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







