LegacyHive Windows zero day sérülékenység

Editors' Pick

A Cyderes kutatói a LegacyHive nyilvánosan közzétett Windows zero day sérülékenységet elemezték, amely a Windows User Profile Service (ProfSvc) működését érinti. A hiba lehetővé teszi, hogy egy alacsony jogosultságú felhasználó egy másik felhasználó – akár rendszergazda – rendszerleíró adatbázisának (registry hive) egy részét saját környezetébe töltse be. A publikált proof-of-concept elsősorban a UsrClass.dat állományt célozza, amely a felhasználói shell, a COM-regisztrációk, fájltársítások és számos alkalmazásspecifikus beállítás adatait tartalmazza. A kutatók szerint a nyilvánosan kiadott exploit szándékosan korlátozott, azonban az eredeti technika ennél jóval nagyobb képességekkel rendelkezik: tetszőleges registry hive betöltésére is alkalmas lehet, és nem feltétlenül igényel további felhasználói hitelesítő adatokat. A sérülékenység a 2026. júliusi frissítésekkel ellátott Windows rendszereken is működik, és a közzététel időpontjában sem CVE-azonosító, sem hivatalos javítás nem állt rendelkezésre.

A LegacyHive nem jelent közvetlen távoli kompromittálást, hanem egy post-compromise technika, a támadónak már futtatnia kell kódot a célgépen egy normál felhasználói fiókkal. Ennek ellenére komoly biztonsági jelentősége van, mert a másik felhasználó registry-adatainak módosítása vagy olvasása új támadási lehetőségeket nyithat meg, például COM hijackinget, fájltársítások manipulálását vagy más, későbbi jogosultságkiterjesztési láncok előkészítését. A Cyderes szerint a LegacyHive jól mutatja, hogy a Windows felhasználói profilkezelése továbbra is érzékeny támadási felület, és bár a nyilvános PoC önmagában nem biztosít azonnali SYSTEM jogosultságot, megfelelő továbbfejlesztéssel értékes építőelem lehet célzott támadások során. A kutatók ezért a szokatlan ProfSvc-aktivitások, registry hive betöltések és Object Manager műveletek monitorozását javasolják, amíg a Microsoft hivatalos javítást nem ad ki.

FORRÁS