„Ako mogu postaviti sustav tako da pokrene moj kod kada se administrator prijavi“, napadač de facto ima administratorske privilegije, rekao je Will Dormann, viši analitičar ranjivosti u Tharros Labs, u intervjuu. „Ne moram biti administrator sam.“
U objavi je rekao da „sposobnost ne-administratorskog korisnika da može modificirati registry hive klasa administratorskog korisnika predstavlja prilično moćnu primitivu. Pametni napadači ili ljudi koji žele nešto postići lako će shvatiti kako raditi stvari koje su zanimljivije i/ili ne zahtijevaju interakciju korisnika.“
Dormann je rekao da se eksploatacija možda može povezati s drugom koja daje izravan pristup administratorskom računu.
Kako je objašnjeno u objavi drugog analitičara: „Kada se novi korisnik prijavljuje, Windows treba učitati registry hive korisničkih klasa. Budući da korisnik nije prijavljen prije prijave (tautologija, znam), ne može se učitati u kontekstu korisnika. Stoga se učitava u kontekstu NT AUTHORITYSYSTEM. LegacyHive to zloupotrebljava.“
U izjavi poslanom e-poštom, Microsoft je rekao da je svjestan izvještaja o ranjivosti i da provodi istragu. Tvrtka je također napomenula svoju preferenciju da izvjestitelji o ranjivostima slijede politiku koordiniranog otkrivanja.
Za sada, korisnici Windowsa koji žele zaštititi svoje sustave od HiveLegacy mogu pokrenuti skriptu za otkrivanje koju je objavio neovisni istraživač Kevin Beaumont. Ostale mjere zaštite uključuju ograničavanje lokalnog stvaranja računa ne-korisnika, praćenje ProfSvc-a za neočekivana učitavanja hiva i praćenje aktivnosti NTUSER.DAT/UsrClass.dat.



