Microsoft製品を狙ったゼロデイ攻撃コードを次々と公開してきた不満分子のセキュリティ研究者Nightmare Eclipseが今週、Windowsの未修正の脆弱性をまたしても公開しました。しかも、公開されたのは2026年7月のPatch Tuesday当日というタイミングでした。
「LegacyHive」と名付けられたこの新たなエクスプロイトは、GitHubで公開されており、Windows User Profile Serviceに存在するローカル権限昇格の脆弱性です。攻撃者は、管理者を含む他のユーザーのハイブを読み込ませることが可能になります。
「Chaotic Eclipse」の別名でも知られるNightmare Eclipseは、Microsoftの2026年7月パッチを適用したシステム上で動作する概念実証(PoC)コードを公開しました。
この研究者は「本PoCの実行には、別の標準ユーザーの資格情報と3つ目のユーザー名(管理者アカウントでも可)が必要です。PoCが成功すると、最終的に対象ユーザーのハイブが現在のユーザーのクラスルートにマウントされます」と説明しています。
これまでNightmare Eclipseが公開してきたゼロデイエクスプロイトとは異なり、LegacyHiveは脆弱性が実際の攻撃に悪用されるのを防ぐため、機能を絞ったPoCとして公開されました。
この研究者によると、このエクスプロイトは本来、ユーザーの資格情報を必要とせず、usrclass.datハイブに限らずどのハイブでも読み込ませることが可能だったといいます。研究者いわく、現在でもそれは依然として可能ではあるものの、実現にはある程度の作業が必要になるとのことです。
Nightmare Eclipseはこれまでに、Microsoft製品を狙ったゼロデイ脆弱性を6件以上公開しています。実際の攻撃で悪用されたBlueHammer、RedSun、UnDefendのほか、GreenPlasma、RoguePlanet、YellowKey、GreatXMLなどが含まれます。
Microsoftは今のところLegacyHiveのエクスプロイトについて認めていません。SecurityWeekは同社に見解を求めるメールを送っており、回答があり次第この記事を更新する予定です。
翻訳元: https://www.securityweek.com/nightmare-eclipse-drops-legacyhive-windows-zero-day/