“Εάν μπορώ να ρυθμίσω το σύστημα έτσι ώστε να εκτελεί τον κώδικά μου όταν συνδέεται ένας χρήστης διαχειριστής”, δήλωσε ο Will Dorman, ανώτερος αναλυτής ευπάθειας στο Thurs Labs, ο εισβολέας έχει de facto δικαιώματα διαχειριστή. «Δεν χρειάζεται να είμαι ο ίδιος διαχειριστής».
ΕΝΑ θέσηΕίπε ότι “η ικανότητα ενός χρήστη χωρίς διαχειριστή να μπορεί να τροποποιεί την ομάδα μητρώου κλάσης ενός χρήστη διαχειριστή είναι μια αρκετά ισχυρή πρωτόγονη. Οι έξυπνοι εισβολείς ή όσοι θέλουν να κερδίσουν κάτι θα μπορούν εύκολα να καταλάβουν πώς να κάνουν πράγματα που είναι πιο ενδιαφέροντα ή/και δεν απαιτούν αλληλεπίδραση με τον χρήστη.”
Ο Dorman είπε ότι το exploit θα μπορούσε ενδεχομένως να συνδεθεί σε ένα ξεχωριστό που παρέχει άμεση πρόσβαση σε λογαριασμούς διαχείρισης.
Όπως εξήγησε ένας θέση Από διαφορετικό αναλυτή: “Όταν ένας νέος χρήστης συνδέεται, τα Windows πρέπει να φορτώσουν την κατηγορία του χρήστη Hive. Εφόσον ο χρήστης δεν είναι συνδεδεμένος πριν συνδεθεί (ταυτολογία, ξέρω), δεν μπορεί να φορτωθεί στο περιβάλλον του χρήστη. Επομένως, φορτώνεται στο περιβάλλον του NT AUTHORITY\SYSTIVESYSTEM a Lee.”
Σε μια δήλωση που εστάλη μέσω ηλεκτρονικού ταχυδρομείου, η Microsoft είπε ότι γνωρίζει την αναφορά ευπάθειας και διερευνά. Η εταιρεία σημείωσε επίσης την προτίμησή της να επιδιώκουν οι δημοσιογράφοι ευπάθειας α ολοκληρωμένη αποκάλυψη πολιτική
Προς το παρόν, οι χρήστες των Windows που θέλουν να προστατεύσουν τα συστήματά τους από το HiveLegacy μπορούν να εκτελέσουν ένα Σενάριο ανίχνευσης Εκδόθηκε από τον ανεξάρτητο ερευνητή Kevin Beaumont. Άλλες άμυνες είναι ο περιορισμός της δημιουργίας τοπικών λογαριασμών μη χρηστών, η παρακολούθηση του ProfSvc για μη αναμενόμενα φορτία κυψελών και η παρακολούθηση της δραστηριότητας NTUSER.DAT/UsrClass.dat.









