Windows LegacyHive 零日漏洞曝光:低權限帳戶可改動管理員 registry hive
Tech News

Windows LegacyHive 零日漏洞曝光:低權限帳戶可改動管理員 registry hive

圖片:via Ars Technica — https://arstechnica.com/security/2026/07/windows-0-day-drops-the-same-day-microsoft-releases-record-number-of-patches/
TechLab 編輯部(譯)·

多用戶電腦風險較高,正式修補同影響版本仍待 Microsoft 確認

先講清楚:佢唔係一撳連結就中招

Microsoft 啱啱推出歷來最大規模嘅 Patch Tuesday,研究員 NightmareEclipse 同日就公開另一個未修補 Windows 漏洞 LegacyHive。根據 Ars Technica 報道,幾名研究員已確認公開概念驗證確實有效。不過,呢個係本機權限提升漏洞:攻擊者要先攞到低權限帳戶或者令目標電腦執行程式,先有機會再踩入權限較高嘅帳戶。暫時冇證據顯示漏洞已經用喺實際攻擊,亦唔應該包裝成遙距零互動入侵。

問題出喺 Windows 載入用戶 profile 嘅權限處理

問題出喺 Windows User Profile Service,亦即每次用戶登入時負責準備個人設定嗰個系統服務。Windows 會將部分設定存入 registry hive;LegacyHive 針對嘅位置涉及檔案關聯、Explorer 用咩程式開檔,同部分 COM 設定。研究員展示低權限用戶可以借系統服務嘅權限,將另一個用戶嘅 hive 載入自己可控制嘅位置,跟住改動原本唔應該掂到嘅資料。

呢個能力本身未等於即時取得完整管理員權限,但對攻擊者嚟講已經好有用。攻擊者如果再捉啱管理員登入或程式載入嘅時機,就可能影響管理員之後用咩程式開檔,甚至載入咩元件。研究員話公開版本已刻意削走部分能力;換句話講,公開程式展示到漏洞存在,實際可以延伸到幾遠仍待 Microsoft 完整分析,亦唔應該將研究員描述嘅最壞情況當成已證實攻擊鏈。

多用戶 Windows 主機風險較高

一般家用電腦如果得一個人使用,而且平時唔會執行來歷不明嘅程式,現階段風險相對有限。公司共用工作站、學校電腦室、跳板機、remote desktop server 同其他同時容許多個帳戶登入嘅環境就麻煩得多,因為低權限帳戶同管理員帳戶會喺同一部機輪流或同時出現,攻擊者較容易等到有價值嘅目標 profile 載入。

呢點亦解釋咗點解「普通帳戶冇 admin 權限」唔足以處理晒問題。標準帳戶本來係重要防線,照樣應該保留,但當作業系統服務錯誤處理跨帳戶嘅 profile 資料,帳戶之間嗰道牆就未必可靠。LegacyHive 要攻擊者先有低權限存取,唔係隔住網上就可以直接攻入部機。

未有正式修補,防守重點係收窄第一步

截至原文刊出時,LegacyHive 未見正式 CVE、Microsoft 公告、受影響版本清單或者官方 workaround;名稱亦一度出現 HiveLegacy 同 LegacyHive 兩種寫法,原始研究頁使用 LegacyHive。管理員唔好自行停用 User Profile Service、亂改 registry 權限或者搬走 profile 檔案,呢類做法未經驗證,好容易令登入、app 設定甚至整個用戶 profile 出問題。

而家較穩陣嘅做法,係限制邊啲普通帳戶可以本機或經 remote desktop 登入重要主機,管理員工作同日常使用分開帳戶,配合 app allowlisting、EDR 同電郵或下載檔案管制,減少不明程式有機會執行。保安團隊亦可以留意異常跨用戶登入、User Profile Service 活動、非預期 hive 載入,同埋登入前後突然出現嘅 registry classes 改動;不過暫時未有 Microsoft 官方偵測規則,告警條件要先喺測試環境調校,避免正常 profile 操作製造大量誤報。

七月更新照裝,LegacyHive 就另外追進度

Microsoft 七月更新修補數量有 570 同 622 兩個常見統計,差別主要來自點樣計算 Windows、Edge 同其他 Microsoft 產品;無論用邊個口徑,規模都創下紀錄。已推出嘅更新仍然要按風險盡快測試同部署,因為當中包括已遭利用嘅漏洞,但呢批更新唔代表 LegacyHive 已修好。管理多用戶 Windows 主機嗰班 IT,下一步係留意 MSRC Security Update Guide 同 Windows release health,一有正式 CVE、影響版本同修補資料就重新評估優先次序。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook