В тот же день, когда Microsoft выкатила июльский набор заплаток и закрыла разом больше шести сотен уязвимостей, известный исследователь под ником NightmareEclipse (он же Chaotic Eclipse) выложил в открытый доступ новую дыру — LegacyHive. Это локальное повышение привилегий в службе профилей пользователей Windows (User Profile Service): обычный пользователь без прав администратора может добраться до чужого реестрового «улья», в том числе администраторского. А дальше — подменить настройки так, чтобы при следующем входе админа в системе выполнился чужой код.
Работает это через файл UsrClass.dat, который отвечает за ассоциации файлов и хранится у каждого пользователя отдельно. Аналитик по безопасности Уилл Дорман (Will Dormann) показал на практике, как это выглядит: он переназначил открытие текстовых файлов на запуск калькулятора — безобидная демонстрация, за которой легко угадывается сценарий пострашнее. Важная оговорка: выложенный прототип намеренно урезан и требует условий — учётки ещё одного обычного пользователя и того, чтобы администратор в принципе зашёл в систему. Но сама брешь сидит в полностью обновлённых Windows, причём как в домашних, так и в серверных сборках.
И вот тут самое неприятное. Microsoft до сих пор не выпустила ни патча, ни даже официального идентификатора уязвимости — компания лишь заявила, что «изучает» ситуацию. То есть человек честно ставит все обновления, чувствует себя защищённым, а дыра всё это время остаётся открытой. Другой специалист, Кевин Бомонт (Kevin Beaumont), уже подтвердил, что эксплойт рабочий, и опубликовал правила для его обнаружения.
Сам NightmareEclipse — фигура особая. LegacyHive стала уже девятой уязвимостью, которую он выложил публично, и делает он это не от хорошей жизни:
