SecBoard
Zurück zur Übersicht

New Windows LegacyHive zero-day gives hackers admin privileges

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Ein Sicherheitsforscher hat einen Windows Zero-Day-Exploit namens LegacyHive veröffentlicht, der Angreifern Administratorrechte auf aktuellen Windows-Systemen verschafft. Dieser betrifft alle Windows-Nutzer. Es wird dringend empfohlen, auf Patches von Microsoft zu warten und diese umgehend zu installieren, sobald sie verfügbar sind.

Kurzfassung

Ein Sicherheitsforscher hat einen neuen Windows Zero-Day-Exploit namens LegacyHive veröffentlicht. Dieser Exploit ermöglicht Angreifern, Administratorrechte auf aktuellen Windows-Systemen zu erlangen. Es wird dringend empfohlen, auf Patches von Microsoft zu warten und diese umgehend zu installieren.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Alle Windows-Nutzer sind von diesem Zero-Day-Exploit betroffen.

Warum relevant

Die Erlangung von Administratorrechten ermöglicht Angreifern weitreichende Kontrolle über betroffene Systeme, was zu Datenkompromittierung, Systemmanipulation oder der Installation weiterer Malware führen kann.

Realistisches Worst Case

Angreifer könnten vollständige Kontrolle über betroffene Windows-Systeme erlangen, sensible Daten exfiltrieren, Systeme manipulieren oder als Ausgangspunkt für weitere Angriffe innerhalb des Netzwerks nutzen.

Handlungsempfehlung

Organisationen sollten auf die Veröffentlichung von Patches durch Microsoft warten und diese sofort nach Verfügbarkeit auf allen betroffenen Windows-Systemen installieren. Bis dahin sollten zusätzliche Überwachungsmaßnahmen für ungewöhnliche Aktivitäten auf Windows-Systemen implementiert werden.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Systemprotokolle (z.B. Sicherheitsereignisprotokolle) auf ungewöhnliche Prozesse, die mit erhöhten Rechten ausgeführt werden, insbesondere von nicht-administrativen Konten.
  • Stellen Sie sicher, dass alle Endpunktschutzlösungen (EDR/AV) auf dem neuesten Stand sind und ungewöhnliche Verhaltensweisen oder Privilege Escalation-Versuche erkennen können.
  • Überprüfen Sie die Konfiguration von Least Privilege-Prinzipien auf allen Windows-Systemen, um sicherzustellen, dass Benutzer nur die minimal notwendigen Berechtigungen besitzen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Privilege EscalationT1068 Exploitation for Privilege EscalationHighDieser Exploit verschafft Angreifern Administratorrechte auf aktuellen Windows-Systemen.
Offene Punkte
  • Es werden keine spezifischen Tools oder Exploits genannt, die von Angreifern verwendet werden könnten, außer dem Namen LegacyHive.
  • Es werden keine spezifischen betroffenen Windows-Versionen genannt, nur 'aktuelle Windows-Systeme'.
  • Es werden keine spezifischen IOCs (Indicators of Compromise) genannt.
  • Es werden keine spezifischen betroffenen Branchen oder geografischen Regionen genannt.
  • Es werden keine Details zur Funktionsweise des Exploits oder zu möglichen Gegenmaßnahmen vor der Patch-Verfügbarkeit genannt, außer der Empfehlung, auf Patches zu warten.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Möglich
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Möglich
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Windows extern erreichbar?
Themen
SecurityMicrosoft