सुरक्षा शोधकर्ता नाइटमेयर एक्लिप्स ने विंडोज यूजर प्रोफाइल सर्विस में 'LegacyHive' नामक एक नए जीरो-डे बग का खुलासा किया है। तत्काल दुरुपयोग को रोकने के लिए प्रूफ-ऑफ-कॉन्सेप्ट (PoC) कोड को आंशिक रूप से हटा दिया गया है, लेकिन यह अनपैच प्रणालियों के लिए एक बड़ा खतरा है।

मुख्य बिंदु (Key Takeaways)

  • 'LegacyHive' विंडोज यूजर प्रोफाइल सर्विस में एक नया लोकल प्रिविलेज एस्केलेशन जीरो-डे बग है।
  • इसे 'नाइटमेयर एक्लिप्स' नामक नाराज सुरक्षा शोधकर्ता द्वारा जुलाई 2026 पैच ट्यूजडे के दौरान जारी किया गया।
  • तत्काल और व्यापक दुरुपयोग को रोकने के लिए प्रूफ-ऑफ-कॉन्सेप्ट (PoC) कोड को आंशिक रूप से संशोधित किया गया है।

एंटरप्राइज सुरक्षा के लिए एक बेहद चिंताजनक घटनाक्रम में, नाइटमेयर एक्लिप्स (जिसे क्योटिक एक्लिप्स भी कहा जाता है) के रूप में जाने जाने वाले एक नाराज सुरक्षा शोधकर्ता ने एक और अनपैच विंडोज जीरो-डे एक्सप्लोइट जारी किया है। LegacyHive नाम का यह नया सुरक्षा छेद सीधे विंडोज यूजर प्रोफाइल सर्विस को निशाना बनाता है, जिससे वैश्विक साइबर सुरक्षा परिदृश्य में हड़कंप मच गया है। माइक्रोसॉफ्ट के जुलाई 2026 पैच ट्यूजडे चक्र के ठीक बाद जारी किया गया यह एक्सप्लोइट सिस्टम प्रशासकों के लिए एक बड़ी चुनौती बन गया है।

तकनीकी विश्लेषण और कार्यप्रणाली

तकनीकी रूप से लोकल प्रिविलेज एस्केलेशन (LPE) बग के रूप में वर्गीकृत, LegacyHive एक हमलावर को मानक उपयोगकर्ता विशेषाधिकारों के साथ अन्य उपयोगकर्ताओं—विशेष रूप से सिस्टम प्रशासकों—के हाइव्स को लोड करने की अनुमति देता है। शोधकर्ता के अनुसार, प्रूफ-ऑफ-कॉन्सेप्ट (PoC) एक्सप्लोइट लक्षित उपयोगकर्ता हाइव को वर्तमान उपयोगकर्ता के क्लासेस रूट में माउंट करता है। हालांकि वर्तमान सार्वजनिक PoC को निष्पादित करने के लिए मानक उपयोगकर्ता क्रेडेंशियल की आवश्यकता होती है, शोधकर्ता ने स्पष्ट किया कि मूल एक्सप्लोइट को क्रेडेंशियल की आवश्यकता नहीं थी और यह किसी भी हाइव (जैसे `usrclass.dat`) को आसानी से लोड कर सकता था।

सुरक्षात्मक रूप से संशोधित कोड

नाइटमेयर एक्लिप्स द्वारा पूर्व में जारी किए गए जीरो-डे एक्सप्लोइट्स के विपरीत, LegacyHive के PoC को जानबूझकर कुछ महत्वपूर्ण कोड हटाकर जारी किया गया है। ऐसा इसलिए किया गया है ताकि साइबर अपराधी तुरंत इसका दुरुपयोग न कर सकें। हालांकि, साइबर सुरक्षा विशेषज्ञों का मानना है कि परिष्कृत हमलावर बहुत कम समय में इस कोड को फिर से तैयार कर सकते हैं, जिससे माइक्रोसॉफ्ट द्वारा पैच जारी करने से पहले ही यह एक बड़ा खतरा बन सकता है।

माइक्रोसॉफ्ट की चुप्पी और पुराना इतिहास

यह रिलीज नाइटमेयर एक्लिप्स के एक बड़े अभियान का हिस्सा है, जिसने पहले भी माइक्रोसॉफ्ट उत्पादों को लक्षित करने वाले आधा दर्जन से अधिक जीरो-डे एक्सप्लोइट जारी किए हैं। अतीत में जारी किए गए BlueHammer, RedSun, और UnDefend जैसे एक्सप्लोइट्स का पहले ही वास्तविक हमलों में दुरुपयोग किया जा चुका है। फिलहाल, माइक्रोसॉफ्ट ने अभी तक आधिकारिक तौर पर LegacyHive बग को स्वीकार नहीं किया है, जिससे संगठन सुरक्षा पैच के बिना असुरक्षित स्थिति में हैं।

बचाव के उपाय

जब तक माइक्रोसॉफ्ट इस भेद्यता के लिए कोई आपातकालीन हॉटफिक्स या पैच जारी नहीं करता, तब तक सुरक्षा टीमों को स्थानीय विशेषाधिकार परिवर्तनों की बारीकी से निगरानी करने की सलाह दी जाती है। कड़े एक्सेस कंट्रोल लागू करना, यूजर प्रोफाइल सर्विस गतिविधियों का ऑडिट करना और न्यूनतम विशेषाधिकार के सिद्धांत (PoLP) का पालन करना इस समय सबसे महत्वपूर्ण उपाय हैं।