Windows 0day 下降同一天微软发布创纪录数量的补丁
原文链接:https://arstechnica.com/security/2026/07/windows-0-day-drops-the-same-day-microsoft-releases-record-number-of-patches/
就在微软发布创纪录数量的安全补丁之后,一名研究人员发布了漏洞代码,可以使低权限的 Windows 帐户对管理员帐户进行敏感更改。多名研究人员称该漏洞有效,微软再次忙于修补一位匿名研究人员发布的零日漏洞,该研究人员抱怨软件制造商处理错误报告的方式。迄今为止,假名 NightmareEclypse 已发布了 9 个此类漏洞,其中包括周二的 HiveLegacy。研究人员表示,报告中包含的概念验证代码已被删除,以防止攻击者恶意使用它。
HiveLegacy 是一种特权提升漏洞,针对 Windows User Profile Service 中的漏洞。它允许具有有限系统权限的用户(以及更多可能工作的进程)通过修改其类注册表配置单元来危害管理员用户的帐户,该资源可确保在 Windows 资源管理器中单击某些类型的文件时打开正确的应用程序。至少,这意味着攻击者可以修改与管理员帐户关联的 Windows 注册表。如前所述,该漏洞需要攻击者知道其他用户的凭据。该帐户不必是管理员。攻击者还必须知道计算机上第三个帐户的用户名,无论是否具有管理员状态。
Tharros Labs 的高级首席漏洞分析师 Will Dormann 在接受采访时表示:“如果我可以设置系统,使其在管理员用户登录时运行我的代码,”攻击者就拥有事实上的管理员权限。
“我自己不需要成为管理员。”他在一篇文章中表示,“非管理员用户能够修改管理员用户的类注册表配置单元的能力是一个非常强大的原语。聪明的攻击者或想要完成某件事的人将很容易找出如何做更有趣和/或甚至不需要用户交互的事情。”多尔曼表示,该漏洞可能与一个单独的漏洞相关,该漏洞可以直接访问管理帐户。正如另一位分析师在一篇文章中所解释的:“当新用户登录时,Windows 需要加载用户的类配置单元。由于用户在登录之前尚未登录(我知道是同义反复),因此无法在用户的上下文中加载它。因此它会在 NT AUTHORITY\SYSTEM 的上下文中加载。LegacyHive 滥用了这一点。”微软在一份电子邮件声明中表示,它已了解该漏洞报告并正在进行调查。该公司还指出,它倾向于让漏洞报告者遵循协调一致的披露政策。目前,想要保护系统免受 HiveLegacy 侵害的 Windows 用户可以运行独立研究员 Kevin Beaumont 发布的检测脚本。其他防御措施包括限制本地非用户帐户创建、监视 ProfSvc 的意外配置单元负载以及跟踪 NTUSER.DAT/UsrClass.dat 活动。
Dan Goodin 是 Ars Technica 的高级安全编辑,负责监督恶意软件、计算机间谍活动、僵尸网络、硬件黑客、加密和密码的报道。业余时间,他喜欢园艺、烹饪和追随独立音乐界。丹住在旧金山。请在 Mastodon 和 Bluesky 上关注他。通过 DanArs.82 上的 Signal 联系他。