開発

HiveLegacy公開:Windows特権昇格ゼロデイ、過去最多パッチ同日に

Microsoftが記録的なパッチ公開を行った同日、匿名リサーチャーがWindows User Profile Serviceのゼロデイ脆弱性「HiveLegacy」のエクスプロイトコードを公開。低権限ユーザーが管理者アカウントのレジストリを操作可能になる。

8分で読める SINGULISM 編集チームが確認・編集

HiveLegacy公開:Windows特権昇格ゼロデイ、過去最多パッチ同日に
Photo by Clint Patterson on Unsplash

Dan Goodin が Ars Technica で報じた記事に基づく。

Microsoftが記録的な数のセキュリティパッチを公開した同日、新たなWindowsゼロデイ脆弱性のエクスプロイトコードが公開された。複数のセキュリティ研究者が動作を確認したと報じられている。問題の脆弱性「HiveLegacy」は、低権限のWindowsアカウントに管理者アカウントへの機密変更を可能にする特権昇格の脆弱性だ。

公開したのは匿名のリサーチャー「NightmareEclypse」だ。同氏はこれまでに9件のエクスプロイトコードを公開しており、Microsoftの脆弱性報告対応に対する不満を表明している。公開された実証コードは、悪用を防ぐために機能を限定した形になっているという。

HiveLegacy is an elevation-of-privilege exploit that targets a vulnerability residing in the Windows User Profile Service. It allows users (and with more work likely processes) with limited system rights to compromise an admin user’s account by modifying its classes registry hive, a resource that ensures the correct application opens when certain types of files are clicked on in Windows Explorer.

脆弱性の標的はWindows User Profile Serviceだ。このサービスが管理するクラスレジストリハイブは、Windows Explorerで特定のファイル種別をクリックした際に正しいアプリケーションを起動するためのリソースである。攻撃者はこれを悪用して管理者アカウントに関連付けられたレジストリを変更できる。

“The ability of a non-admin user to be able to modify the classes registry hive of an admin user is a pretty powerful primitive. Clever attackers or people who want to accomplish something will easily be able to figure out how to do things that are more interesting and/or don’t even require user interaction.” — Will Dormann, Tharros Labs

Tharros Labsの上級主任脆弱性アナリストWill Dormann氏は、この脆弱性を「かなり強力なプリミティブ」と評した。Dormann氏は、巧妙な攻撃者がより興味深い操作や、ユーザー操作を必要としない攻撃経路を見つけるのは容易だと指摘する。

現在のエクスプロイトコードでは、攻撃者は他のユーザーの認証情報を知っている必要がある。対象のアカウントは管理者である必要はない。また、同一マシン上の第三のアカウント(管理者権限の有無は問わない)のユーザー名を知る必要もある。しかしDormann氏は、別の脆弱性と連鎖させることでより直接的な管理者アクセスを獲得できる可能性に言及している。

“When a new user is logging on, Windows needs to load the user’s class hive. Since the user isn’t logged on before logging on, it can’t be loaded in the context of the user. So it is loaded in the context of NT AUTHORITY\SYSTEM. LegacyHive abuses this.”

別のアナリストによる説明では、新規ユーザーのログオン時にWindowsがクラスハイブを読み込む仕組みが悪用される。ログオン前のユーザーコンテキストではハイブを読み込めないため、SYSTEMコンテキストで読み込まれる点を突いている。

Microsoftは電子メールでの声明で、脆弱性報告を認識しており調査中であると述べた。同社は脆弱性報告者に対して調整された開示ポリシーに従うことを推奨していると報じられている。現時点で暫定的な対策として、独立したセキュリティ研究者Kevi氏が公開した検出スクリプトを実行することが推奨される。

今回のHiveLegacy公開は、Microsoftにとって脆弱性報告者との関係構築の課題を改めて浮き彫りにした。Microsoft Defenderの特権昇格脆弱性「RoguePlanet」が公開された事例や、Windows GDIDがScattered Spider容疑者特定に貢献した事例と同様、Windowsのセキュリティ設計に対する根本的な問いを投げかけている。

編集部の見解

短期的には、匿名リサーチャーNightmareEclypseによる9件目のゼロデイ公開がMicrosoftのパッチ管理体制に深刻な圧力をかける。User Profile Serviceのクラスレジストリハイブ操作は「強力なプリミティブ」と評され、攻撃者による改良が進む前にMicrosoftが緊急パッチを投入する必要がある。管理者はKevi氏の検出スクリプトによる影響評価を直ちに実施すべきだ。

長期的視点では、Windowsの特権モデルそのものの再設計が問われる。SYSTEMコンテキストでユーザーハイブを読み込むアーキテクチャは、低権限プロセスから管理者レジストリへの操作経路を残してきた。この設計上の課題に対処しない限り、同様の脆弱性が繰り返し発見されるリスクが残る。

編集部としては、Microsoftの脆弱性報告プロセスが抱える制度的課題を考える。調整された開示ポリシーを推奨するだけでは、研究者のフラストレーションは解消されない。報奨金制度の拡充や報告者との対話強化が、結果的にユーザー保護につながるという視点が求められる。

参考

よくある質問

HiveLegacyの影響を受けるWindowsバージョンはどれか
Microsoftは現在影響範囲を調査中である。Windows User Profile Serviceを搭載するすべてのバージョンが対象となる可能性が高い。公開された実証コードは機能が限定されているが、攻撃者が改良を加えるリスクがある。正式なパッチが公開されるまでの間、検出スクリプトによる確認が推奨される。
HiveLegacyはリモートから悪用可能か
現状の実証コードでは、攻撃者が他のユーザーの認証情報を知っている必要があり、ローカル環境での特権昇格に分類される。しかしWill Dormann氏が指摘するように、別の脆弱性と連鎖させることでリモートからの攻撃にも利用される可能性がある。SYSTEMコンテキストで動作する性質上、影響範囲は広いと見るべきだ。 ## 参考 - [Windows 0-day drops the same day Microsoft releases record number of patches — Ars Technica](https://arstechnica.com/security/2026/07/windows-0-day-drops-the-same-day-microsoft-releases-record-number-of-patches/) — 2026-07-15公開 - [Microsoft Defenderの特権昇格脆弱性「RoguePlanet」公開](https://singulism.com/ja/microsoft-defender-rogueplanet-zero-day) - [Windows GDID、Scattered Spider容疑者特定に貢献](https://singulism.com/ja/windows-gdid-scattered-spider-investigation)
出典: Ars Technica

コメント

← トップへ戻る