Một lỗ hổng zero-day trên Windows, được biết đến với tên gọi LegacyHive (còn gọi là MSNightmare), đã được phát hiện lợi dụng dịch vụ User Profile Service để thực hiện leo thang đặc quyền cục bộ (LPE), can thiệp vào tài khoản quản trị viên và thực thi mã ở cấp độ admin.
LegacyHive nhắm mục tiêu vào dịch vụ Windows User Profile Service (ProfSvc). Dịch vụ này chịu trách nhiệm tải và dỡ bỏ các profile người dùng cùng với các registry hive tương ứng trong quá trình đăng nhập và đăng xuất hệ thống.
Khám phá kỹ thuật lỗ hổng LegacyHive
Cơ chế khai thác và mục tiêu chính
Proof-of-Concept (PoC) công khai từ tài khoản GitHub MSNightmare mô tả lỗ hổng zero-day LegacyHive là một vulnerability cho phép tải registry hive tùy ý trong dịch vụ profile người dùng Windows, dẫn đến leo thang đặc quyền.
Về mặt kỹ thuật, LegacyHive cho phép một người dùng có đặc quyền thấp gắn (mount) registry hive của một người dùng khác, cụ thể là hive UsrClass.dat, vào HKEY_CLASSES_ROOT của chính họ. Điều này làm lộ dữ liệu ứng dụng và cấu hình của người dùng khác như thể đó là của chính họ.
Quyền truy cập và khả năng tấn công
Nhà nghiên cứu bảo mật Will Dormann đã chứng minh khả năng khai thác của LegacyHive. Bằng cách chạy LegacyHive.exe với thông tin đăng nhập của một người dùng tiêu chuẩn thứ hai, chỉ định tên tài khoản quản trị viên, sau đó khởi động regedit.exe dưới quyền người dùng thứ hai đó, người dùng không phải admin có thể truy cập trực tiếp vào hive Classes của quản trị viên.
Ban đầu, quyền truy cập chỉ đọc vào UsrClass.dat không trực tiếp làm lộ các hash mật khẩu hoặc cho phép đánh cắp thông tin xác thực. Tuy nhiên, nó tạo ra một cơ chế mạnh mẽ: một người dùng không phải admin có thể sửa đổi hive Classes của admin và chiếm quyền kiểm soát cách tài khoản đó khởi chạy ứng dụng hoặc đối tượng COM.
Ông Dormann đã chỉ ra rằng, ví dụ, một người dùng không phải admin có thể thay đổi liên kết tệp .txt trong hive của admin để khởi chạy calc.exe thay vì trình soạn thảo văn bản. Điều này minh họa cách mã tùy ý có thể được đưa vào quy trình làm việc của quản trị viên, cho thấy nguy cơ Windows privilege escalation.
Nguy hiểm hơn, kẻ tấn công có thể ghi đè các đối tượng COM hoặc phần mở rộng shell (shell extensions) tự động tải khi quản trị viên đăng nhập. Điều này biến hive bị chiếm quyền thành một cơ chế duy trì truy cập và thực thi mã với đặc quyền quản trị trong quá trình đăng nhập thông thường.
Khó khăn trong phát hiện
Vì việc thực thi xảy ra trong ngữ cảnh của tài khoản admin hợp lệ trên chính máy của họ, các hoạt động này có thể xuất hiện “bình thường”. Điều này khiến các công cụ phát hiện và phản ứng điểm cuối (EDR) ít có khả năng gắn cờ là đáng ngờ.
PoC công khai của MSNightmareEclipse đã được cố tình rút gọn: nó yêu cầu thông tin đăng nhập cho một người dùng tiêu chuẩn khác, bị giới hạn ở hive UsrClass.dat và bỏ qua logic tải hive tùy ý tổng quát hóa.
Tuy nhiên, nhà nghiên cứu tuyên bố rằng phiên bản khai thác gốc không yêu cầu thông tin đăng nhập người dùng bổ sung và có thể ép buộc ProfSvc (và thậm chí đạt được quyền mạo danh cấp độ kernel dưới dạng NT AUTHORITY\SYSTEM) để tải bất kỳ hive nào. Điều này mở rộng đáng kể tác động của nó ngoài các lớp người dùng thông thường.
Hiện trạng và Phản ứng từ Microsoft
Tình trạng bản vá và CVE
Mặc dù bản vá Patch Tuesday tháng 7 năm 2026 của Microsoft đã khắc phục hàng trăm CVE, nhưng lỗ hổng zero-day LegacyHive được báo cáo vẫn hoạt động trên tất cả các phiên bản Windows desktop và server hiện đang được hỗ trợ và đã được vá đầy đủ thông qua các bản cập nhật đó. Tại thời điểm tiết lộ, chưa có CVE nào được gán hoặc bản tin bảo mật chuyên dụng nào được công bố.
Microsoft đã công khai tuyên bố rằng họ “đã biết về lỗ hổng bảo mật được báo cáo và đang tích cực điều tra tính hợp lệ và khả năng áp dụng của các tuyên bố này”. Tuy nhiên, các tổ chức hiện chưa thể dựa vào một bản sửa lỗi chính thức.
Các nghiên cứu kỹ thuật đảo ngược ban đầu bằng cách sử dụng các công cụ như Process Monitor chỉ ra rằng LegacyHive lạm dụng cách ProfSvc phân giải và mở UsrClass.dat của người dùng mục tiêu thông qua Windows Object Manager và các quy trình tải registry hive.
Phân tích hành vi hệ thống
Ông Dormann đã quan sát rằng nỗ lực ban đầu để mở hive của quản trị viên mục tiêu bằng một danh tính có đặc quyền thấp trả về phản hồi ACCESS DENIED. Tuy nhiên, một lần thử lại tiếp theo dưới ngữ cảnh mạo danh NT AUTHORITY\SYSTEM lại thành công, khiến hive được gắn và có thể truy cập được đối với người dùng bị kiểm soát bởi kẻ tấn công. Để hiểu rõ hơn về PoC, tham khảo GitHub MSNightmare LegacyHive.
Hành vi này phù hợp với các đặc điểm đã tồn tại lâu đời trong Windows, nơi việc mạo danh do kernel điều khiển và các điều kiện tranh chấp (race conditions) trên các thao tác tệp hoặc registry có thể bị lạm dụng để đạt được các hiệu ứng cấp độ SYSTEM. Một mô hình tương tự đã được ghi nhận trước đây trong nghiên cứu của Project Zero về việc tạo tệp tùy ý và chiếm quyền hive Classes. Để biết thêm chi tiết về quan sát của Will Dormann, xem Infosec.exchange.
LegacyHive dường như tái sử dụng mô hình đó chống lại ProfSvc, dẫn đến một đường dẫn leo thang đặc quyền cục bộ (LPE) chưa được vá thông qua việc tải hive tùy ý. Đây là một mối đe dọa mạng đáng kể.
Các biện pháp giảm thiểu rủi ro
Chiến lược bảo vệ hệ thống
Vì LegacyHive là một lỗ hổng zero-day cục bộ và xảy ra sau khi hệ thống đã bị xâm nhập, kẻ tấn công phải có quyền truy cập vào một hệ thống Windows và ít nhất một tài khoản không phải admin trước khi khai thác lỗ hổng zero-day LegacyHive này. Tuy nhiên, nó sau đó cung cấp một lộ trình để phá hoại người dùng có đặc quyền cao hơn và leo thang đặc quyền, tạo ra rủi ro bảo mật nghiêm trọng.
Cho đến khi Microsoft phát hành bản vá, các nhà phòng thủ có thể giảm thiểu nguy cơ bảo mật bằng cách hạn chế đăng nhập cục bộ cho các tài khoản đặc quyền. Việc phân đoạn các máy trạm admin cũng là một biện pháp quan trọng, giúp cô lập môi trường làm việc của quản trị viên khỏi các mối đe dọa tiềm tàng.
Việc thắt chặt giám sát xung quanh các sửa đổi registry hive, đặc biệt là hive Classes, là cần thiết. Đồng thời, cần theo dõi chặt chẽ các thay đổi đăng ký đối tượng COM và mở rộng shell trong các profile admin.
Phản ứng với hệ thống bị xâm nhập
Các tổ chức cũng nên coi các hệ thống nơi các công cụ MSNightmareEclipse được tìm thấy, bao gồm LegacyHive và các khai thác RoguePlanet/Defender trước đó, là có khả năng bị xâm nhập. Điều này dựa trên lịch sử của nhà nghiên cứu trong việc phát hành các PoC chức năng chống lại các bản dựng Windows đã được vá đầy đủ.
Việc theo dõi và giám sát chặt chẽ các hoạt động hệ thống bất thường, đặc biệt là các thay đổi liên quan đến profile người dùng và registry, là cốt lõi để duy trì an ninh mạng. Các công cụ IDS (Intrusion Detection System) và EDR cần được cấu hình để phát hiện các mẫu hành vi không điển hình liên quan đến việc tải registry hive hoặc thay đổi liên kết file/COM object, vốn là dấu hiệu của Windows privilege escalation.
Tầm quan trọng của cập nhật bản vá
Mặc dù lỗ hổng zero-day LegacyHive hiện chưa có bản vá chính thức, việc duy trì hệ thống luôn được cập nhật với các bản vá bảo mật mới nhất từ Microsoft vẫn là một thực hành tốt nhất. Các bản vá này giúp giảm thiểu các lỗ hổng CVE khác và thu hẹp bề mặt tấn công tổng thể của hệ thống, tăng cường an toàn thông tin.










