新たなWindows「LegacyHive」ゼロデイ脆弱性、攻撃者に管理者権限を付与

「Nightmare Eclipse」というハンドルネームを使うセキュリティ研究者が、LegacyHiveと名付けられたWindowsのゼロデイエクスプロイトを公開しました。このエクスプロイトを使うと、最新の状態に更新されたWindowsシステムでも権限昇格が可能になります。

Nightmare Eclipseは、Microsoftが2026年7月のPatch Tuesdayアップデートをリリースした数時間後に概念実証(PoC)エクスプロイトを公開しました。同氏によると、このエクスプロイトはWindows User Profile Serviceに存在するセキュリティ脆弱性を悪用するものですが、追跡を容易にするためのCVE IDはまだ付与されていないとのことです。

ただし、NightmareEclipseがこれまでに公開してきたエクスプロイトとは異なり、今回のLegacyHive PoCは追加の認証情報を必要とするよう改変されており、攻撃者がこの脆弱性を武器化しにくい仕様になっています。

「このPoCは別の標準ユーザーの認証情報と、3つ目のユーザー名(管理者アカウントでも構いません)を必要とします。PoCが成功すると、最終的に対象ユーザーのハイブが現在のユーザーのクラスルート内にマウントされます」と同研究者は述べています

「このPoCは公開悪用を防ぐ目的であえて機能を削ぎ落としています。元のPoCは追加のユーザー認証情報を必要とせず、usrclass.datハイブに限定されるものでもありませんでした。この脆弱性を使えばどのハイブでもロードできますが、PoCにそれをやらせるには多少の工夫が必要です」

Tharrosの主任脆弱性アナリストであるWill Dormann氏がLegacyHiveエクスプロイトを検証したところによると、この脆弱性の悪用に成功すれば、非管理者ユーザーでもクラスレジストリハイブを変更でき、管理者アカウントが侵害済みシステムにログインした際に自動的にコード実行が可能になるとのことです。

「例えば、面白半分ですが、.txtファイルをcalc.exeで開くよう関連付けることができます」とDormann氏は指摘しています。「知恵の働く攻撃者や、何かを成し遂げたい人であれば、もっと興味深いことや、ユーザーの操作すら必要としないことを行う方法を容易に見つけ出すでしょう」

PoC公開の翌日には、サイバーセキュリティ専門家のKevin Beaumont氏も、エンタープライズ向けエンドポイントセキュリティプラットフォームであるMicrosoft Defender for Endpoint(MDE)向けに、LegacyHive悪用検知クエリを公開しました

ここ数カ月、Nightmare EclipseはMicrosoft DefenderやBitLocker、その他さまざまなWindowsコンポーネントに存在する複数のWindows脆弱性についてゼロデイエクスプロイトを公開してきました。これにはRoguePlanetBlueHammerRedSunYellowKeyGreenPlasmaMiniPlasma、そしてUnDefendが含まれます。

Microsoftは先月、2026年6月のPatch Tuesdayアップデートの一環としてGreenPlasma、MiniPlasma、YellowKeyの各脆弱性を修正し、RoguePlanetの脆弱性は7月のセキュリティアップデートで修正しています。

Microsoftは、Nightmare Eclipseによる一連の公開に対し、「顧客に実害をもたらす悪意ある行為」に関与する者に対して法的措置も辞さないとの警告で応じており、これによりサイバーセキュリティ専門家の間では、Microsoftが同研究者を直接的に威嚇しているのではないかとの見方が広がっています。

BleepingComputerが本件についてコメントを求めたところ、Microsoftの広報担当者から即座に回答は得られませんでした。

攻撃者に先んじて、あらゆるレイヤーをテストせよ

セキュリティチームが記録できている攻撃成功事例はわずか54%、アラートが上がるのはたった14%に過ぎません。残りは環境内を検知されずに通り抜けています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)によってSIEMやEDRのルールをテストし、脅威の検知漏れを防ぐ方法を解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/new-windows-legacyhive-zero-day-exploit-grants-hackers-admin-access/

ソース: bleepingcomputer.com