Nội dung bài viết
HiveLegacy là một “người nguyên thủy mạnh mẽ” có khả năng thực hiện các hành động bất chính khác.
Ngay sau khi Microsoft phát hành số lượng bản vá bảo mật kỷ lục, một nhà nghiên cứu đã công bố mã khai thác có thể cho phép các tài khoản Windows có đặc quyền thấp thực hiện các thay đổi nhạy cảm đối với tài khoản quản trị viên.
Việc khai thác mà nhiều nhà nghiên cứu cho rằng có hiệu quả, một lần nữa lại khiến Microsoft phải vật lộn để vá lỗi zero-day do một nhà nghiên cứu ẩn danh phát hành, người đã phàn nàn về cách nhà sản xuất phần mềm xử lý các báo cáo lỗi của họ.
Cho đến nay, bút danh NightmareEclypse đã xuất bản 9 lần khai thác như vậy, bao gồm cả HiveLegacy hôm thứ Ba. Nhà nghiên cứu cho biết mã chứng minh khái niệm có trong báo cáo đã bị loại bỏ để ngăn chặn những kẻ tấn công sử dụng nó với mục đích xấu.
HiveLegacy là một cách khai thác nâng cao đặc quyền nhắm vào lỗ hổng nằm trong Dịch vụ Hồ sơ Người dùng Windows.
Nó cho phép người dùng (và với nhiều quy trình có khả năng hoạt động hơn) có quyền hệ thống hạn chế xâm phạm tài khoản của người dùng quản trị viên bằng cách sửa đổi tổ chức đăng ký lớp của nó, một tài nguyên đảm bảo ứng dụng chính xác sẽ mở khi một số loại tệp nhất định được nhấp vào trong Windows Explorer.
Ở mức tối thiểu, điều đó có nghĩa là kẻ tấn công có thể sửa đổi sổ đăng ký Windows được liên kết với tài khoản quản trị viên. Như đã viết, việc khai thác yêu cầu kẻ tấn công phải biết thông tin xác thực của người dùng khác.
Tài khoản không cần phải là quản trị viên. Kẻ tấn công cũng phải biết tên người dùng của tài khoản thứ ba, có hoặc không có tư cách quản trị viên, trên máy.
Will Dormann, nhà phân tích lỗ hổng chính cấp cao tại Tharros Labs, cho biết trong một cuộc phỏng vấn: “Nếu tôi có thể thiết lập hệ thống để nó chạy mã của tôi khi người dùng quản trị viên đăng nhập”, kẻ tấn công có đặc quyền quản trị viên trên thực tế.
“Bản thân tôi không cần phải là quản trị viên.” Trong một bài đăng, anh ấy nói rằng "khả năng người dùng không phải quản trị viên có thể sửa đổi tổ chức đăng ký lớp của người dùng quản trị viên là một yếu tố khá mạnh mẽ.
Những kẻ tấn công thông minh hoặc những người muốn đạt được điều gì đó sẽ dễ dàng tìm ra cách thực hiện những điều thú vị hơn và/hoặc thậm chí không yêu cầu sự tương tác của người dùng." Dormann nói rằng việc khai thác có thể được xích vào một tài khoản riêng biệt cho phép truy cập trực tiếp vào tài khoản quản trị.
Như đã giải thích trong một bài đăng của một nhà phân tích khác: "Khi người dùng mới đăng nhập, Windows cần tải tổ ong lớp của người dùng. Vì người dùng chưa đăng nhập bật trước khi đăng nhập (tautology, tôi biết), nó không thể được tải trong ngữ cảnh của người dùng.
Vì vậy, nó được tải trong ngữ cảnh của NT AUTHORITY\SYSTEM. LegacyHive lạm dụng điều này.” Trong một tuyên bố gửi qua email, Microsoft cho biết họ đã biết về báo cáo lỗ hổng và đang điều tra.
Công ty cũng lưu ý rằng các báo cáo về lỗ hổng bảo mật phải tuân theo chính sách tiết lộ phối hợp. Hiện tại, người dùng Windows muốn bảo vệ hệ thống của họ khỏi HiveLegacy có thể chạy tập lệnh phát hiện do nhà nghiên cứu độc lập Kevin Beaumont xuất bản.
Các biện pháp bảo vệ khác là hạn chế việc tạo tài khoản cục bộ không phải là người dùng, giám sát ProfSvc để phát hiện các tải tổ ong không mong muốn và theo dõi hoạt động NTUSER.DAT/UsrClass.dat. Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm.
Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin. Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.