
Tharros Labs의 수석 취약성 분석가인 Will Dormann은 인터뷰에서 “관리자가 로그인할 때 코드가 실행되도록 시스템을 설정할 수 있다면 공격자는 사실상 관리자 권한을 갖게 됩니다.”라고 말했습니다. “내가 직접 관리자가 될 필요는 없습니다.”
게시물에서 그는 “관리자가 아닌 사용자가 관리자의 클래스 레지스트리 하이브를 수정할 수 있는 능력은 매우 강력한 기본 기능입니다. 영리한 공격자나 무언가를 달성하려는 사람들은 더 흥미롭고 사용자 상호 작용이 필요하지 않은 작업을 수행하는 방법을 쉽게 알아낼 수 있을 것입니다.”라고 말했습니다.
Dormann은 이 익스플로잇이 관리 계정에 직접 액세스할 수 있는 별도의 익스플로잇에 연결될 가능성이 있다고 말했습니다.
다른 분석가의 게시물에 설명된 대로: “새 사용자가 로그온할 때 Windows에서는 사용자의 클래스 하이브를 로드해야 합니다. 사용자가 로그온하기 전에 로그온하지 않았기 때문에(동어어항인 것으로 알고 있습니다) 사용자의 컨텍스트에서 로드할 수 없습니다. 따라서 NT AUTHORITY\SYSTEM의 컨텍스트에서 로드됩니다. LegacyHive는 이를 악용합니다.”
마이크로소프트는 이메일로 보낸 성명에서 취약점 보고서를 인지하고 조사 중이라고 밝혔습니다. 또한 회사는 취약성 보고자가 조정된 공개 정책을 따르는 것을 선호한다고 언급했습니다.
현재 HiveLegacy로부터 시스템을 보호하려는 Windows 사용자는 독립 연구원 Kevin Beaumont가 게시한 탐지 스크립트를 실행할 수 있습니다. 다른 방어 방법은 로컬 비사용자 계정 생성을 제한하고, 예상치 못한 하이브 로드가 있는지 ProfSvc를 모니터링하고, NTUSER.DAT/UsrClass.dat 활동을 추적하는 것입니다.
관련 정보는 아래 링크에서 확인하세요