Wściekły haker zrzucił dziewiątą bombę na Microsoft. Krucjata trwa


Wściekły haker zrzucił dziewiątą bombę na Microsoft. Krucjata trwa

Kilka godzin po rekordowym Patch Tuesday, niezależny badacz bezpieczeństwa ukrywający się pod pseudonimem Nightmare Eclipse opublikował kolejną podatność dotyczącą systemu Windows. To już dziewiąta luka ujawniona przez niego w ciągu ostatnich miesięcy, a autor otwarcie deklaruje, że nie zamierza kończyć swojej działalności.

Nowe odkrycie otrzymało nazwę LegacyHive. Według badacza podatność pozwala użytkownikowi pozbawionemu uprawnień administratora uzyskać dostęp do rejestru innego konta, a następnie modyfikować jego zawartość. W odpowiednich warunkach może to prowadzić do eskalacji uprawnień i przejęcia znacznie większej kontroli nad systemem.

Nowa luka dotyczy usługi odpowiedzialnej za profile użytkowników

LegacyHive wykorzystuje sposób działania usługi odpowiedzialnej za ładowanie i zamykanie profili użytkowników podczas logowania do Windows. To właśnie ona zarządza ustawieniami zapisanymi dla każdego konta obecnego w systemie.

Nightmare Eclipse twierdzi, że znalazł metodę pozwalającą nakłonić usługę do zamontowania gałęzi rejestru należącej do innego użytkownika. Dzięki temu osoba posiadająca zwykłe konto może uzyskać dostęp do danych rejestru przeznaczonych dla innego profilu, a w określonych scenariuszach także konta administratora.

Badacz opublikował demonstracyjną wersję exploita, zaznaczając, że została celowo ograniczona. Publicznie dostępny kod ma jedynie potwierdzać istnienie problemu i nie zawiera wszystkich elementów potrzebnych do przeprowadzenia pełnego ataku.

Pełny exploit ma być znacznie groźniejszy

Autor twierdzi, że zachował dla siebie bardziej rozbudowaną wersję narzędzia. Według jego deklaracji pełny exploit nie wymaga znajomości danych logowania innego użytkownika i pozwala manipulować dowolnymi gałęziami rejestru na wszystkich obecnie wspieranych wersjach Windows dla komputerów osobistych i serwerów.

Jeżeli te informacje okażą się prawdziwe, podatność może mieć duże znaczenie dla cyberprzestępców. Tego typu błędy są szczególnie cenne po uzyskaniu pierwszego dostępu do komputera. Pozwalają bowiem zwiększyć uprawnienia i przejąć kontrolę nad kolejnymi elementami systemu.

Microsoft nie odniósł się jeszcze publicznie do ujawnionej podatności ani nie potwierdził jej istnienia.

Trwa otwarty konflikt z Microsoftem

Nightmare Eclipse od wielu miesięcy publikuje kolejne luki dotyczące Windows, Microsoft Defendera, BitLockera oraz innych komponentów systemu operacyjnego. Badacz twierdzi, że zdecydował się na publiczne ujawnianie błędów po konflikcie z Microsoftem dotyczącym sposobu obsługi zgłoszeń bezpieczeństwa.

Według jego relacji wcześniejsze doświadczenia z programem zgłaszania podatności zakończyły się utratą zaufania do firmy. Od tamtej pory regularnie publikuje nowe odkrycia bez oczekiwania na przygotowanie poprawek przez producenta.

Takie działania od dawna wywołują gorące dyskusje w środowisku specjalistów od cyberbezpieczeństwa. Część ekspertów uważa, że publiczne ujawnianie szczegółów przed wydaniem aktualizacji naraża użytkowników na dodatkowe ryzyko. Inni przekonują, że właśnie dzięki temu producenci szybciej reagują na zgłoszenia.

Microsoft już wcześniej musiał reagować

To nie pierwszy przypadek, gdy publikacje Nightmare Eclipse zmuszają Microsoft do działania. W poprzednich miesiącach firma przygotowała poprawki dla kilku podatności ujawnionych przez badacza, potwierdzając ich istnienie już po publikacji szczegółów technicznych.

Każde kolejne odkrycie zwiększa zainteresowanie działalnością autora. Jego wpisy w serwisie X oraz publikacje techniczne są szeroko komentowane przez ekspertów zajmujących się bezpieczeństwem systemów Windows.

GitHub i GitLab zablokowały jego konta

Rosnąca liczba publikowanych exploitów miała również konsekwencje dla samego badacza. Jego konta zostały zablokowane zarówno na GitHubie, jak i GitLabie, dlatego przeniósł swoje materiały na własny blog oraz inne platformy.

W ostatnich wpisach Nightmare Eclipse przyznał, że cała sytuacja mocno odbiła się na jego samopoczuciu. Opisywał okres głębokiego zniechęcenia i deklarował, że przez pewien czas nie był w stanie pracować nad kolejnymi projektami.

Przerwa okazała się jednak krótka. Najpierw opublikował exploit pozwalający obejść zabezpieczenia BitLockera, a teraz dołączył do niego LegacyHive.

Rekordowy Patch Tuesday nie zakończył problemów

Nowa publikacja pojawiła się zaledwie kilka godzin po udostępnieniu największego Patch Tuesday w historii Microsoftu. Producent usunął 570 podatności, w tym trzy luki typu zero-day oraz kilkadziesiąt błędów o krytycznym znaczeniu.

LegacyHive pokazuje jednak, że lista problemów związanych z bezpieczeństwem Windows wciąż się wydłuża.

Spodobało Ci się? Podziel się ze znajomymi!

Pokaż / Dodaj komentarze do:

Wściekły haker zrzucił dziewiątą bombę na Microsoft. Krucjata trwa
 0