• 4 min de lectura
El zero-day LegacyHive llega, pero no es tan devastador como se anunció
NightmareEclipse publicó un nuevo zero-day de Windows llamado LegacyHive, pero los investigadores dicen que el código público es más útil tras un compromiso que para una toma de control completa.

Imagen: The Register
NightmareEclipse, el prolífico cazador de bugs que The Register describe como uno de los dolores de cabeza más persistentes de Microsoft, ha publicado otro zero-day de Windows: esta vez una falla de escalada de privilegios local denominada LegacyHive. A pesar de las afirmaciones iniciales de que sería “rompehuesos”, los investigadores de seguridad dijeron a The Register que la publicación pública es seria pero no el golpe decisivo que se había anunciado.
LegacyHive apunta a las secciones del Registro de usuario de Windows, las áreas del Registro que almacenan la configuración del escritorio de un usuario, las preferencias de las aplicaciones y la configuración del entorno. El código de prueba de concepto abusa de una debilidad en profsvc, el Servicio de perfiles de usuario de Windows, para permitir que un usuario normal monte la hive de otro usuario en su propia clave Classes Root. Si se usa con éxito, eso podría dar a un atacante acceso privilegiado de lectura y escritura a la hive de otro usuario.
Matei Badanoiu, investigador jefe de seguridad en Pentest-Tools.com, dijo que la brecha entre el código publicado y un compromiso total del sistema es significativa.
“Lo que me llamó la atención es la diferencia entre lo que la prueba de concepto pública realmente demuestra y lo que requeriría un compromiso total.” “LegacyHive es una escalada de privilegios local en el Servicio de perfiles de usuario de Windows. Abusa de la carga arbitraria de hives del Registro, por lo que un usuario estándar puede montar la hive de otro usuario, incluso la de un administrador, en su propia clave Classes Root.” “Para un atacante que ya tiene un punto de apoyo, eso es un primitivo realmente útil. Agruparlo con acceso a credenciales y persistencia para lograr un ‘compromiso total’ es más una ambición que lo que demuestra el código publicado.”
Según el informe, la PoC pública fue reducida intencionadamente para dificultar la explotación masiva. Requiere credenciales adicionales de usuario y se limita a la hive usrclass.dat. NightmareEclipse afirmó que la PoC original no necesitaba credenciales extra y funcionaba más allá de usrclass.dat, pero dijo que hacerla funcionar así requeriría “algunas neuronas.”
Esto marca un cambio respecto a lanzamientos anteriores de NightmareEclipse. The Register señaló que entregas previas como BlueHammer y RedSun pasaron de PoC a explotación generalizada en cuestión de días. LegacyHive llega sin una PoC completamente funcional y sin un identificador CVE.

Recomendado
12 millones de cuentas de streaming robadas aparecen en la dark web durante el Mundial
Momento de la divulgación y respuesta de Microsoft
Aun así, se insta a los defensores a actuar con rapidez. Dray Agha, gerente senior de operaciones de seguridad en Huntress, dijo a The Register que actores capaces probablemente completarán las piezas que faltan.
“Se aconseja a los equipos de inteligencia de amenazas que actúen con cierta urgencia aquí.” “Huntress observó que las herramientas previas de LPE y evasión de defensa de NightmareEclipse fueron desplegadas rápidamente por actores de la amenaza y grupos de ransomware poco después de su publicación.” “Dado este historial, esperaríamos que actores capaces realizaran ingeniería inversa de los componentes faltantes de la PoC de LegacyHive para construir versiones totalmente armadas en poco tiempo.”
El momento también fue calculado. NightmareEclipse publicó LegacyHive justo después del Patch Tuesday de Microsoft, que este mes incluyó un número sin precedentes de 622 correcciones. Agha dijo que ese tipo de sincronización maximiza la ventana antes de que se pueda enviar un parche.
NightmareEclipse afirma que la falla afecta a sistemas Windows totalmente parcheados con las actualizaciones de julio. The Register preguntó a Microsoft si planeaba emitir una corrección antes del ciclo de parches de agosto.
En una actualización añadida el 16 de julio, un portavoz de Microsoft dijo que la compañía está “al tanto de la vulnerabilidad reportada y está investigando activamente la validez y la posible aplicabilidad de estas afirmaciones.” El portavoz añadió que Microsoft apoya la divulgación coordinada de vulnerabilidades y está trabajando para proteger a los clientes “lo antes posible.”
El informe también señala que Microsoft emitió discretamente la semana pasada una solución para RoguePlanet, otro zero-day anterior de NightmareEclipse, sin detallar en qué consistió esa mitigación.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía The Register


