新たに公表されたWindowsのローカル権限昇格の脆弱性は「LegacyHive」と名付けられており、標準ユーザーが管理者アカウントのユーザーごとのレジストリクラスハイブを読み込み、改変できてしまう可能性があります。
研究者NightmareEclipse氏が公開した概念実証(PoC)はGitHubリポジトリ「MSNightmare/LegacyHive」で公開されており、Windowsのユーザープロファイルサービスを悪用して対象ユーザーのUsrClass.datハイブを、権限の低いアカウントからアクセス可能なレジストリの場所にマウントする仕組みになっています。
LegacyHiveというWindowsのゼロデイ脆弱性
このプロジェクトのREADMEによると、この問題は現在サポートされているWindowsデスクトップおよびWindows Serverのインストール環境全般に影響しており、Microsoftの2026年7月のセキュリティパッチを適用済みのシステムも含まれるとしています。
セキュリティ監査サービス
公表時点では、リポジトリには割り当てられたCVE番号やMicrosoftのアドバイザリ、ベンダーによる修正プログラムの情報は記載されていませんでした。PoCはC++で書かれており、MITライセンスの下で公開されています。ただし作者によれば、悪用がすぐに広がらないよう、公開コードの機能はあえて制限されているとのことです。
LegacyHiveの悪用にはローカル環境での実行に加え、2人目の標準Windowsユーザーの認証情報、そして標的となるアカウント(管理者である場合もあります)のユーザー名へのアクセスが必要です。
攻撃が成功すると、標的アカウントのクラスレジストリハイブが現在のユーザーのクラスルート配下にマウントされます。オリジナルの研究では、追加の認証情報を必要とせずに任意のハイブを読み込めることが報告されていたとされていますが、公開されているPoCは、ユーザー固有のファイル関連付けやCOM登録、シェル設定などの構成に使われるハイブであるUsrClass.datの読み込みに限定されています。
脆弱性研究者のWill Dormann氏が独自に検証を行い、この中心的な挙動を確認しました。Dormann氏はLegacyHiveの実行中にHKEY_USERS配下に新たなレジストリキーが現れることを観測し、後に非管理者ユーザーが管理者のマウントされたClassesハイブにアクセスできることを突き止めています。

この種のアクセスは重大なセキュリティ上の足がかりとなり得ます。権限を持つアカウントのレジストリ構成を改変することで、そのアカウントがログオンしたりデスクトップを操作したりする際のアプリケーション、ファイル、COMコンポーネントの挙動を変えられてしまうためです。
Dormann氏は基本的な実証として、この脆弱性を使って管理者ユーザーの.txtファイルの関連付けを改変し、テキストファイルを本来意図されたアプリケーションではなく電卓で開くようにしてみせました。
この例自体は無害ですが、攻撃者が本来標的アカウントの権限で保護されているはずの設定を改ざんできることを示しています。
さらに危険な悪用としては、管理者のログイン時に呼び出されるCOMオブジェクトの登録を改変することで、そのユーザーのセキュリティコンテキストでのコード実行につながる可能性が考えられます。こうした行為により、攻撃者は一般のローカルユーザーとしての初期侵入拠点から、管理者セッションの制御へと段階的に移行できてしまう恐れがあります。
セキュリティ監査サービス
Process Monitorによる観測結果からは、この不具合がユーザープロファイルサービス(ProfSvc)における権限処理に起因していることがうかがえます。同サービスは最初、指定された標準ユーザーになりすました状態で対象の管理者のUsrClass.datを開こうとし、アクセス拒否のエラーを受け取ります。
その後、NT AUTHORITY\SYSTEMの権限で操作を再試行し、保護されたファイルを正常に開いた上で、読み込まれたハイブを非管理者の呼び出し元からもアクセスできる状態で公開してしまいます。
組織は特に、管理者が対話的ログオンを利用する共有エンドポイント、踏み台ホスト、サーバーにおいて、LegacyHiveを潜在的に影響の大きいローカル権限昇格のリスクとして扱うべきです。
Microsoftからの対応方針や修正プログラムが提供されるまでの間、防御側はローカルアクセスを制限し、標準ユーザーが他のローカルアカウントの認証情報を取得できないようにし、ProfSvcの異常な動作やHKEY_USERS配下の予期しないハイブマウントを監視し、権限を持つアカウントのユーザーレベルのCOM登録やファイル関連付けの変更を調査する必要があります。
脅威検知と迅速な調査を加速し、SOCを強化しましょう。 -> ANY.RUNをあなたのSOCに統合する こちらから。
翻訳元: https://gbhackers.com/legacyhive-windows-zero-day/