Сразу после того, как Microsoft выпустила рекордное количество исправлений безопасности, исследователь опубликовал код эксплойта, позволяющего учётным записям Windows с низкими привилегиями вносить критически важные изменения в учётные записи администраторов. Эксплойт, работоспособность которого подтверждают несколько специалистов, заставляет Microsoft вновь оперативно исправлять уязвимость нулевого дня, раскрытую анонимным исследователем, ранее выражавшим недовольство тем, как компания обрабатывает его отчёты об ошибках.
Исследователь, действующий под псевдонимом NightmareEclypse, на сегодняшний день опубликовал девять подобных эксплойтов, включая появившийся во вторник HiveLegacy. По его словам, опубликованный код проверки концепции был намеренно урезан, чтобы им не могли злонамеренно воспользоваться злоумышленники. HiveLegacy, названный исследователем «довольно мощным примитивом», представляет собой эксплойт для повышения привилегий, нацеленный на уязвимость в службе профилей пользователей Windows (Windows User Profile Service).
Механизм атаки позволяет субъектам с ограниченными системными правами — учётным записям или, вероятно, процессам — скомпрометировать профиль администратора через изменение куста реестра «classes» (HKEY_CLASSES_ROOT).