Microsoft ha stabilito un nuovo record nel numero di patch di sicurezza rilasciate in un singolo aggiornamento. Nella stessa giornata, un ricercatore ha pubblicato il codice di un exploit zero-day per Windows, denominato HiveLegacy, che permette a utenti con privilegi limitati di compromettere account amministratore. La vulnerabilità risiede nel servizio profilo utente di Windows, un componente critico del sistema operativo.
NightmareEclypse pubblica il nono exploit zero-day
Il ricercatore, che utilizza lo pseudonimo NightmareEclypse, ha pubblicato nove exploit zero-day da inizio anno, compreso HiveLegacy. In un post, ha descritto il codice come una versione ridotta per evitare usi malevoli, ma diversi esperti confermano che l'exploit funziona. La Microsoft è ora di corsa per sviluppare una patch definitiva. Questo exploit si aggiunge a una serie di vulnerabilità critiche che mettono sotto pressione il colosso di Redmond, già alle prese con un numero record di correzioni.
Sponsored Protocol
HiveLegacy sfrutta il Windows User Profile Service per l'escalation dei privilegi
HiveLegacy è un exploit di elevazione dei privilegi che colpisce il servizio profilo utente di Windows. Sfruttando una falla, consente a un account con diritti limitati di modificare il registro delle classi del profilo di un amministratore. Questo registro determina quale applicazione si apre per determinati tipi di file in Esplora risorse. Alterandolo, un malintenzionato può eseguire codice arbitrario nel contesto dell'utente amministratore, ottenendo il pieno controllo del sistema. I ricercatori lo definiscono un "primitive potente" in grado di abilitare altre azioni dannose.
Misure di mitigazione temporanee in attesa della patch ufficiale
In assenza di un aggiornamento Microsoft, gli amministratori di sistema possono adottare contromisure per ridurre il rischio. È consigliabile limitare l'accesso al registro delle classi utente tramite policy di gruppo e monitorare le modifiche sospette ai profili. Inoltre, l'uso di account con privilegi minimi e l'implementazione di soluzioni di sicurezza come Endpoint Detection and Response (EDR) possono aiutare a rilevare tentativi di exploit. Per approfondire tecniche di difesa avanzata, si può consultare la guida su SQL Injection Avanzato oppure le best practice per Kubernetes Security.
Sponsored Protocol
Per maggiori informazioni sul concetto di zero-day, si può consultare la pagina di Wikipedia su Vulnerabilità zero-day.