Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Истражувач објави нов PoC(proof-of-concept) за Windows zero-day ранливост само неколку часа по Microsoft Patch Tuesday

Безбедносниот истражувач Chaotic Eclipse (познат и како Nightmare-Eclipse) објави нов proof-of-concept (PoC) експлоит наречен LegacyHive.

Станува збор за ранливост што овозможува локално зголемување на привилегиите (Privilege Escalation) преку произволно вчитување на регистарски „hive“ датотеки во Windows User Profile Service (ProfSvc) – клучна системска компонента задолжена за управување со корисничките профили и работните околини.

„PoC-от бара креденцијали од уште еден стандарден корисник и корисничко име на трета сметка (која може да биде администраторска). Доколку експлоатацијата е успешна, ќе го монтира регистарскиот hive на целниот корисник во тековниот user classes root“, изјави Chaotic Eclipse.

Истражувачот нагласи дека јавно објавениот PoC е намерно ограничен за да се спречи злоупотреба. Оригиналниот експлоит, според него, не барал дополнителни кориснички креденцијали и не бил ограничен само на датотеката usrclass.dat.

„Со оваа ранливост можеше да се вчита кој било hive, но потребно е одредено знаење за PoC-от да го направи тоа“, додаде тој.

Она што ја прави ранливоста особено значајна е фактот што работи на сите поддржани десктоп и серверски верзии на Windows, вклучувајќи ги и системите кои веќе го имаат инсталирано јулското Patch Tuesday ажурирање за 2026 година.

Спор меѓу истражувачот и Microsoft

Chaotic Eclipse и Microsoft се во јавен спор уште од април 2026 година. Истражувачот објави детали за повеќе ранливости пред Microsoft да успее да ги закрпи, наведувајќи дека комуникацијата со компанијата се нарушила.

По јавното објавување, три ранливости во Microsoft Defender биле активно злоупотребувани во реални напади.

На почетокот на овој месец Microsoft објави безбедносни ажурирања за уште една ранливост во Defender, позната како RoguePlanet, која исто така беше откриена од Chaotic Eclipse. Сепак, подоцна беше утврдено дека новите „defense-in-depth“ заштити можат во одредени ситуации да предизвикаат истекување на 8 бајти податоци при отворање на датотеки.

Од Microsoft за The Hacker News изјавија дека активно го истражуваат новиот извештај.

„Microsoft е запознаен со пријавената ранливост и активно ја проверува нејзината валидност и потенцијалното влијание. Посветени сме на истражување на безбедносните проблеми и на ажурирање на засегнатите производи што е можно побрзо за да ги заштитиме корисниците“, соопштија од компанијата.

Компанијата повторно ја нагласи својата поддршка за координирано објавување на ранливости (Coordinated Vulnerability Disclosure), процес што овозможува истражувачите прво доверливо да ги пријават ранливостите, а тие да бидат темелно анализирани и закрпени пред јавното објавување.

SharePoint Server повторно во фокусот

Овој развој на настаните доаѓа во период кога Microsoft објави рекордни 622 безбедносни закрпи, меѓу кои и две ранливости за зголемување на привилегиите во:

  • SharePoint ServerCVE-2026-56164 (CVSS 5.3)
  • Active Directory Federation Services (AD FS)CVE-2026-56155 (CVSS 7.8)

И двете ранливости веќе се означени како активно експлоатирани.

Американската Агенција за сајбер безбедност и безбедност на инфраструктурата (CISA) ги додаде двете ранливости во каталогот Known Exploited Vulnerabilities (KEV), со што федералните институции се задолжени да ги применат безбедносните закрпи најдоцна до 17 јули и 28 јули 2026 година, соодветно.

Според Adam Barnett, главен софтверски инженер во Rapid7, процесот Patch Tuesday во 2026 година поминува низ значителни предизвици.

„По години релативна стабилност, Patch Tuesday годинава се соочува со сериозни турбуленции. Покрај експоненцијалниот раст на откривањето ранливости, поттикнат и од алатки базирани на вештачка интелигенција, Microsoft се справува и со низа ранливости што се објавуваат на начин кој создава максимален притисок врз компанијата“, изјави Барнет.

Активни напади врз SharePoint Server

Во посебно предупредување, CISA соопшти дека е запознаена со активна експлоатација на повеќе SharePoint Server ранливости, меѓу кои:

  • CVE-2026-32201
  • CVE-2026-45659
  • CVE-2026-56164

Овие ранливости им овозможуваат на напаѓачите да добијат неовластен пристап до ранливи SharePoint сервери.

Според CISA, погодени се сите поддржани локални (on-premises) верзии на SharePoint Server:

  • SharePoint Subscription Edition
  • SharePoint Server 2019
  • SharePoint Server 2016

Нападите овозможуваат далечинско извршување на код (Remote Code Execution – RCE), а потоа и активности по компромитирањето, како што се:

  • кражба на Internet Information Services (IIS) машински клучеви,
  • злоупотреба на техники за десериализација,
  • воспоставување траен пристап,
  • инсталирање на малициозен софтвер.

Според Алекс Вовк, коосновач и извршен директор на Action1, ранливоста CVE-2026-56164 произлегува од недостаток на автентикација за критична функционалност.

„Напаѓач може да испрати специјално креирани мрежни барања и да пристапи до функционалности што треба да бидат достапни само по успешна автентикација, што резултира со зголемување на привилегиите. Особено изложени се SharePoint серверите достапни преку интернет, бидејќи нападот може да се изврши од далечина и без валидни кориснички креденцијали“, изјави Вовк.

Закрпена и критична ранливост за заобиколување на автентикацијата

Јулското безбедносно ажурирање исто така ја коригира и критичната ранливост CVE-2026-55040 (CVSS 9.1), која овозможува заобиколување на автентикацијата во SharePoint Server.

Далечински, неавтентициран напаѓач може да ја искористи оваа ранливост за да се претстави како легитимен корисник или администратор на SharePoint страницата и да извршува операции во негово име.

Од Rapid7 објаснуваат дека проблемот се должи на повеќе слабости во процесот на валидација на JWT токени.

„Успешната експлоатација на CVE-2026-55040 му овозможува на напаѓачот да извршува операции како кој било корисник што ќе го избере. Дополнително, ова заобиколување на автентикацијата може да се комбинира со други ранливости во автентицираниот дел од SharePoint за понатамошни напади“, наведуваат од Rapid7.

Ажурирање

По објавувањето на текстот, безбедносниот истражувач Kevin Beaumont на Mastodon потврди дека експлоитот LegacyHive функционира и дека во моментов не е закрпен.

Истражувачот Will Dormann изјави дека LegacyHive му овозможува на корисник без административни привилегии да го модифицира classes registry hive на администраторска сметка, оценувајќи дека станува збор за „исклучително моќен примитив“ за понатамошна експлоатација.

„Како едноставен пример, можеме да ги конфигурираме .txt датотеките да се отвораат со calc.exe. Поумешните напаѓачи лесно ќе најдат многу поинтересни начини за злоупотреба, а некои од нив дури и нема да бараат интеракција од корисникот“, додаде Дорман.

Текстот е ажуриран по неговото првично објавување за да биде вклучен и официјалниот одговор на Microsoft.

Извори:

  • The Hacker News – Researcher Drops New Windows Zero-Day PoC Hours After Microsoft Patch Tuesday The Hacker News