Обнаружена уязвимость Windows нулевого дня; Microsoft выпускает рекордное количество патчей
В тот же день, когда Microsoft выпустила рекордное количество обновлений безопасности, была обнародована информация о новой уязвимости Windows нулевого дня, которая может позволить неадминистративному пользователю получить права администратора.

Исследователи обнаружили новую уязвимость Windows нулевого дня, получившую название HiveLegacy. Эта уязвимость позволяет пользователю без прав администратора изменять реестр классов другого пользователя, что может привести к полному контролю над системой.
Уилл Дорман, старший ведущий аналитик уязвимостей в компании Tharros Labs, объяснил, что злоумышленник может настроить систему так, чтобы она выполняла его код при входе администратора. Это фактически даёт злоумышленнику привилегии администратора, даже если он сам не является администратором. Дорман отметил, что возможность изменять реестр классов администратора является очень мощным инструментом, и умные злоумышленники легко найдут способы его использования, в том числе без взаимодействия с пользователем.
Другой аналитик пояснил, что при входе нового пользователя Windows загружает его раздел классов в контексте NT AUTHORITY\SYSTEM, поскольку пользователь ещё не вошёл. HiveLegacy злоупотребляет этим механизмом.
Microsoft подтвердила, что знает об этой уязвимости и проводит расследование. Компания также напомнила, что предпочитает координированное раскрытие информации. Пока официальное обновление не выпущено, пользователи могут запустить скрипт обнаружения, опубликованный независимым исследователем Кевином Бомонтом. Другие меры защиты включают ограничение создания локальных неадминистративных учётных записей, мониторинг ProfSvc на предмет неожиданных загрузок разделов реестра и отслеживание активности NTUSER.DAT / UsrClass.dat.


