• 2 min de lectura
Zero-day de Windows LegacyHive da a los atacantes una vía hacia admin
Un nuevo exploit zero-day de Windows llamado LegacyHive puede permitir a usuarios que no son administradores ejecutar código a través de una cuenta de administrador en sistemas totalmente parchados.

Imagen: BleepingComputer
Un investigador de seguridad que usa el seudónimo Nightmare Eclipse ha publicado un nuevo exploit zero-day para Windows, LegacyHive, que puede ayudar a los atacantes a escalar privilegios en sistemas Windows completamente actualizados.
La prueba de concepto apareció apenas horas después de las actualizaciones del Patch Tuesday de julio de 2026 de Microsoft. Según el investigador, la vulnerabilidad afecta al servicio de perfiles de usuario de Windows y aún no tiene un identificador CVE.
A diferencia de algunas publicaciones anteriores de Nightmare Eclipse, este PoC fue limitado intencionalmente para dificultar su abuso. El investigador declaró que ahora requiere las credenciales de otro usuario estándar y un tercer nombre de usuario, que puede ser una cuenta de administrador.
«El PoC requiere las credenciales de otro usuario estándar y un tercer nombre de usuario (que puede ser una cuenta de administrador); si el PoC tiene éxito, terminará montando el hive del usuario objetivo en la raíz de clases del usuario actual.» «El PoC fue recortado como intento de evitar la explotación pública; el PoC original no requería credenciales adicionales de usuario y no se limitaba al hive usrclass.dat: cualquier hive podría cargarse utilizando esta vulnerabilidad, pero haría falta algo de ingenio para lograr que el PoC lo hiciera.»
Will Dormann, analista principal de vulnerabilidades en Tharros, probó el exploit y dijo que un uso exitoso permitiría a un usuario sin privilegios modificar el hive de clases del registro y obtener ejecución automática de código cuando la cuenta de administrador inicie sesión en la máquina comprometida.

Recomendado
Hackers de TfL reciben 5.5 años mientras Scattered Spider sufre un golpe
«Por ejemplo, como curiosidad, podemos asociar archivos .txt para que se abran con calc.exe.» «Atacantes ingeniosos o personas que quieran lograr algo podrán fácilmente averiguar cómo hacer cosas que sean más interesantes y/o que ni siquiera requieran interacción del usuario.»
Un día después de que apareció el PoC, el experto en ciberseguridad Kevin Beaumont publicó consultas de detección de explotación de LegacyHive para Microsoft Defender for Endpoint.
Nightmare Eclipse ha revelado recientemente varios otros zero-days de Windows, incluidos RoguePlanet, BlueHammer, RedSun, YellowKey, GreenPlasma, MiniPlasma y UnDefend, que afectan a Microsoft Defender, BitLocker y otros componentes de Windows. Microsoft parcheó GreenPlasma, MiniPlasma y YellowKey en el Patch Tuesday de junio de 2026, y corrigió RoguePlanet en las actualizaciones de julio.
Microsoft respondió anteriormente a estas divulgaciones advirtiendo de acciones legales contra personas que se involucren en «actividades maliciosas que causen daño real a nuestros clientes», una declaración que llevó a algunos expertos en ciberseguridad a creer que la compañía estaba amenazando directamente al investigador. Un portavoz de Microsoft no estuvo disponible de inmediato cuando BleepingComputer se puso en contacto para solicitar comentarios.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía BleepingComputer


