Windows零日漏洞与微软发布创纪录的补丁同日出现
Ars Technica2026年7月15日 19:59
“如果我能设置系统,使其在管理员用户登录时运行我的代码,”Tharros Labs的高级首席漏洞分析师Will Dormann在一次采访中表示,攻击者实际上拥有管理员权限。“我不需要自己成为管理员。”他在一篇帖子中说,“非管理员用户能够修改管理员用户的注册类集管道的能力是一个相当强大的原语。聪明的攻击者或想要完成某些事情的人将很容易找到执行更有趣的事情的方式,甚至根本不需要用户交互。”Dormann表示,该漏洞可能与另一个漏洞连接,从而直接访问管理员账户。正如另一位分析师在帖子中解释的那样:“当新用户登录时,Windows需要加载该用户的类集管道。由于用户在登录之前没有登录(我知道这是重言),因此不能在用户上下文中加载。所以它是在NT AUTHORITY\SYSTEM的上下文中加载的。LegacyHive利用了这一点。”在一份电子邮件声明中,微软表示已注意到漏洞报告并正在调查。该公司还指出其希望漏洞报告者遵循协调披露政策。目前,希望保护其系统免受HiveLegacy影响的Windows用户可以运行独立研究员Kevin Beaumont发布的检测脚本。其他防御措施包括限制本地非用户账户的创建,监控ProfSvc以检测意外的管道加载,以及跟踪NTUSER.DAT/UsrClass.dat的活动。
本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。
☕请我喝杯咖啡