Windows LegacyHive 公開 PoC:共用電腦同公司裝置風險較高
Tech News

Windows LegacyHive 公開 PoC:共用電腦同公司裝置風險較高

圖片:via iThome — https://www.ithome.com.tw/news/177353
TechLab 編輯部(譯)·

漏洞要先有本機存取權,Microsoft 暫時未有修補或公告

LegacyHive 個名聽落幾大件事,加上「零時差」三個字,好容易令人以為淨係部機開住上網就會中招。實際上,公開資料指向嘅係本機權限提升漏洞:攻擊者要先取得 Windows 一個普通帳戶嘅登入權,或者已經有方法喺部機執行程式,先可以再借漏洞接觸權限較高嘅用戶資料。佢唔會隔住網上憑空攻入你部電腦,但可以令一次原本受限制嘅入侵變得難搞好多。

問題出喺 Windows 點樣載入用戶設定

Windows 會將每個用戶部分設定放喺 Registry hive,登入時再由 User Profile Service(ProfSvc)載入。研究人員 Chaotic Eclipse,又名 Nightmare-Eclipse,聲稱 LegacyHive 可以誤導呢項服務,將另一個用戶嘅 hive 掛載到攻擊者而家帳戶可以接觸嘅位置。換句話講,一個普通帳戶原本唔應該讀寫管理員嗰份設定,但漏洞有機會打穿呢道分隔。

研究人員公開咗經刪減嘅概念驗證程式,版本本身要配合另一個普通帳戶嘅憑證同目標帳戶名稱。佢同時聲稱,自己手上原版冇呢項限制,亦可以處理公開版本以外嘅 hive。後半部分暫時只係研究人員說法,未見 Microsoft 或獨立研究完整驗證;本文亦唔會列出操作指令、路徑交換方法或者其他可直接照做嘅利用細節。

有用嘅攻擊跳板,唔等於即時接管全機

第三方保安研究員 Matei Badanoiu 向 The Register 分析,公開 PoC 展示到一個對入侵者幾有用嘅能力,但要去到完整接管系統,仍要配合其他手段取得憑證、維持存取權或者執行高權限操作。呢個分別好重要:LegacyHive 較似入侵後用嚟擴大權限嘅一環,唔係一個由零開始、遙距撳一下就接管 Windows 嘅完整工具。

風險最高嘅亦未必係屋企得一個人用嗰部電腦,反而係容許多人登入嘅公司工作站、電腦室、支援多個工作階段嘅 server,同保留大量本機帳戶嘅共用裝置。呢類環境本身有更多用戶 profile,普通帳戶同管理員帳戶又可能先後喺同一部機登入,攻擊者一旦經惡意附件、外洩密碼或者未知程式攞到普通權限,就多咗可嘗試嘅目標。

官方未確認,影響範圍唔好估住先

iThome 將 LegacyHive 報道成新公開嘅 Windows 零時差漏洞,主要資料來自研究人員披露同公開 PoC。截稿前,Microsoft 未有就 LegacyHive 發出正式安全公告,亦未見 CVE、受影響版本清單、嚴重程度或專用修補。研究人員聲稱問題影響已更新嘅 Windows,但未有官方測試矩陣支持,暫時唔應該自行推斷所有 Windows 10、Windows 11 同 Windows Server 版本都必定受影響。

同樣地,暫時未有 CISA、CERT 或 Microsoft 公開確認 LegacyHive 已經喺真實攻擊出現。研究人員近月因為不滿 Microsoft 處理漏洞通報嘅方式,連續公開多個漏洞,雙方亦曾就披露做法隔空爭議。呢段背景解釋到 PoC 點解會喺未有修補時公開,但研究人員同 Microsoft 各自點講,唔可以代替獨立技術驗證

未有修補前,管理員可以先收窄機會

公司 IT 暫時唔適合胡亂停用 ProfSvc,咁做可能直接搞壞正常登入同用戶 profile。較實際嘅做法係先盤點本機帳戶,刪走已停用或冇人認領嘅帳戶,限制邊啲人可以建立新帳戶,亦避免日常工作長期使用本機管理員權限。共用電腦應配合應用程式白名單、端點防護同軟件安裝限制,減低普通帳戶執行陌生程式嘅機會。

偵測方面,可以留意 ProfSvc 附近出現嘅異常 Registry hive 載入、用戶 classes root 掛載活動、非預期帳戶突然建立或登入,同埋普通用戶程式緊接住出現高權限程序。單一 hive 載入事件未必代表攻擊,企業要配合帳戶、程序同端點紀錄一齊睇,避免見到正常 profile 操作就當成入侵。到 Microsoft 公布受影響版本同更新,管理員就可以按官方資料安排修補次序;而家最值得做嘅,係先管好共用裝置同本機帳戶。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook