Опубликованный PoC-эксплоит LegacyHive для Windows снова напомнил, что одна ошибка в механизме профилей может открыть доступ к чужим данным. Уязвимость затрагивает поддерживаемые версии Windows на рабочих станциях и серверах, а риск особенно важен для администраторов и тех, кто работает с несколькими локальными учетными записями.

Какую проблему решаем

LegacyHive бьет по механизму загрузки пользовательских хайвов реестра. По описанию исследователя, обычный локальный пользователь может получить доступ к разделам реестра другой учетной записи, включая административную, и изменить часть данных в файле UsrClass.dat.

Это опасно не только из-за чтения чужих настроек. Через подмену ассоциаций файлов и COM-классов атакующий может подготовить запуск вредоносного кода при следующем входе администратора. Сам атакующий не получает права администратора напрямую, но может использовать их как трамплин для развития атаки.

Если вам нужен общий ориентир по защите рабочих станций, посмотрите наш разбор типичных ошибок с поддельными установщиками — там хорошо видно, как быстро локальная проблема превращается в инцидент.

Что подготовить

Прежде чем проверять систему, соберите базовый набор данных: список версий Windows, сведения о локальных учетных записях, статус обновлений за июль и журналы, где видны обращения службы профилей к хайвам. Админам полезно заранее понять, какие машины допускают вход обычных пользователей и где есть риск случайной эскалации.

Еще один практичный шаг — ограничить число локальных непривилегированных учетных записей. Чем меньше лишних локальных пользователей, тем сложнее злоумышленнику подобрать нужную среду для эксплуатации ошибки.

Пошаговые действия

  1. Установите июльские обновления Microsoft на все поддерживаемые системы. LegacyHive появилась вскоре после патчей, но без обновлений риск уязвимости только растет.
  2. Проверьте, не используются ли на рабочих станциях лишние локальные учетные записи. Уберите старые, тестовые и забытые профили.
  3. Отследите подозрительные загрузки хайвов через службу ProfSvc. Любая неочевидная активность вокруг пользовательских профилей заслуживает проверки.
  4. Посмотрите события, связанные с NTUSER.DAT и UsrClass.dat. Именно эти файлы помогают заметить попытки вмешательства в пользовательские настройки.
  5. Если у вас есть средства мониторинга, включите отдельные правила на необычные операции с реестром в контексте SYSTEM.

Для домашнего пользователя картина проще: ставьте обновления сразу, не держите на компьютере лишние локальные учетные записи и не работайте под учеткой администратора без необходимости. Это не закроет все риски, но сократит поверхность атаки.

Как проверить себя

Проверка занимает немного времени. Сверьте, стоит ли на машине последний пакет обновлений, и убедитесь, что система не откладывает перезагрузку из-за незавершенной установки патчей. Затем откройте список локальных пользователей и уберите тех, кто больше не нужен.

Администраторам стоит отдельно посмотреть логи профилей и события реестра за последние дни. Если появились неожиданные обращения к пользовательским хайвам, это повод не ждать, а разбирать инцидент.

Если вы хотите быстро понять, как злоумышленники цепляются за чужие учетные записи, полезно вспомнить наш материал про утечку в GitHub и потерю секретов. Логика одна и та же: одна мелкая ошибка в управлении доступом дает атакующему слишком много.

Что делать, если не получилось

Если обновление не ставится, сначала проверьте совместимость, нехватку места и ошибки центра обновлений. Не откладывайте проблему на потом: до исправления системы лучше ограничить локальные входы и усилить контроль журналов.

Если вы нашли признаки необычной активности вокруг UsrClass.dat или NTUSER.DAT, изолируйте машину от сети и начните разбор с сохранением логов. Для компании это тот случай, когда проще потратить час на проверку, чем потом восстанавливать чужие настройки и разбираться с последствиями запуска вредоносного кода.

Чек-лист

  • Установить июльские обновления Microsoft на все Windows-машины.
  • Убрать лишние локальные учетные записи и старые тестовые профили.
  • Проверить журналы ProfSvc и события вокруг NTUSER.DAT и UsrClass.dat.
  • Ограничить работу под учетной записью администратора.
  • Настроить мониторинг необычных изменений в реестре.
  • При признаках атаки изолировать компьютер и сохранить логи.
  • Для удаленной работы в чужой сети использовать ссылку на защиту трафика для банка только как дополнительный слой приватности, а не как замену патчам и антивирусу.
Поделиться: