
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
LegacyHive to publicznie ujawniony exploit typu zero-day dla systemu Windows, który pozwala na lokalną eskalację uprawnień nawet na w pełni zaktualizowanych systemach. Problem dotyczy usługi Windows User Profile Service i mechanizmu obsługi profili użytkowników, a jego praktyczne wykorzystanie może prowadzić do przejęcia wykonania kodu w kontekście konta o wyższych uprawnieniach.
W centrum ataku znajduje się możliwość manipulacji określonymi gałęziami rejestru użytkownika, w tym strukturami powiązanymi z plikiem usrclass.dat. To właśnie ten element sprawia, że podatność może zostać użyta jako pomost między dostępem do zwykłego konta a późniejszym uzyskaniem uprawnień administracyjnych.
W skrócie
Exploit LegacyHive został opublikowany przez badacza działającego pod pseudonimem Nightmare Eclipse jako proof-of-concept. Według dostępnych informacji technika działa na aktualnie załatanych wersjach Windows i w chwili ujawnienia nie otrzymała jeszcze identyfikatora CVE.
- podatność umożliwia lokalną eskalację uprawnień,
- atak wymaga dostępu do konta o niskich uprawnieniach,
- publiczny PoC potrzebuje dodatkowych poświadczeń zwykłego użytkownika oraz wskazania trzeciego konta,
- niezależni badacze potwierdzili skuteczność techniki,
- opublikowano pierwsze zapytania detekcyjne dla Microsoft Defender for Endpoint,
- Microsoft analizuje zgłoszenie.
Kontekst / historia
Ujawnienie LegacyHive nastąpiło krótko po lipcowym Patch Tuesday 2026, co zwróciło uwagę branży na brak oficjalnej poprawki dla tej klasy problemu. W praktyce oznacza to, że organizacje muszą polegać na monitoringu, twardych zasadach administracyjnych oraz środkach kompensacyjnych do czasu wydania łat przez producenta.
Przypadek wpisuje się też w szerszy trend publikowania proof-of-conceptów jeszcze przed zakończeniem pełnego procesu koordynowanego ujawnienia. Dla zespołów bezpieczeństwa oznacza to skrócenie czasu na reakcję, konieczność szybkiej walidacji ryzyka oraz natychmiastowe wdrażanie tymczasowych zabezpieczeń operacyjnych.
Analiza techniczna
Z technicznego punktu widzenia LegacyHive wykorzystuje zachowanie Windows User Profile Service związane z obsługą hive rejestru użytkownika. Opublikowana wersja PoC koncentruje się na manipulacji plikiem usrclass.dat oraz odpowiadającymi mu gałęziami rejestru, które przechowują m.in. klasy obiektów, skojarzenia i ustawienia istotne dla działania sesji użytkownika.
Kluczowym etapem ataku jest zamontowanie docelowego hive rejestru w kontekście aktualnego użytkownika. Dzięki temu możliwe staje się wprowadzanie zmian w obszarach, które później mogą zostać odczytane lub wykonane w chwili logowania innego użytkownika, uruchomienia określonej funkcji systemowej albo aktywacji mechanizmów opartych o klasy COM i skojarzenia plików.
Jeżeli napastnik uzyska wcześniej dostęp do konta standardowego i przygotuje odpowiednie modyfikacje, kolejnym krokiem może być oczekiwanie na logowanie użytkownika uprzywilejowanego. W takim scenariuszu exploit nie musi zapewniać natychmiastowego pełnego przejęcia hosta, lecz działa jako etap pośredni w łańcuchu ataku prowadzącym do trwałej eskalacji uprawnień.
To szczególnie niebezpieczne w środowiskach współdzielonych, na stacjach administracyjnych oraz wszędzie tam, gdzie administratorzy logują się na hostach używanych wcześniej przez konta o niskim poziomie zaufania. Dodatkowo pojawiły się już pierwsze reguły wykrywania, co sugeruje, że artefakty ataku mogą być widoczne w telemetrii EDR i logach dotyczących ładowania hive rejestru oraz nietypowych zmian w profilach użytkowników.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem wykorzystania LegacyHive jest przejście z konta nieuprzywilejowanego do kontekstu administracyjnego. Dla atakującego oznacza to większą kontrolę nad systemem, możliwość obchodzenia części zabezpieczeń, instalowania trwałego malware, dostępu do wrażliwych danych lokalnych oraz przygotowania dalszego ruchu bocznego w sieci.
Ryzyko jest szczególnie wysokie w organizacjach, które dopuszczają mieszanie zwykłej pracy użytkownika z aktywnościami administracyjnymi na tych samych hostach. W takich warunkach nawet ograniczony PoC może stać się realnym wektorem wejścia do bardziej zaawansowanego przejęcia środowiska.
- wysokie ryzyko dla stacji współdzielonych i hostów administracyjnych,
- możliwość trwałej eskalacji po zalogowaniu konta uprzywilejowanego,
- potencjalne wyłączanie zabezpieczeń i instalacja złośliwego oprogramowania,
- większa ekspozycja środowisk z ograniczoną telemetrią EDR,
- zagrożenie wzrasta tam, gdzie nie ma separacji kont administracyjnych.
Rekomendacje
Do czasu opublikowania oficjalnej poprawki organizacje powinny potraktować LegacyHive jako istotny problem operacyjny i wdrożyć środki kompensacyjne. Najważniejsze jest ograniczenie sytuacji, w których użytkownik uprzywilejowany loguje się na systemie wcześniej dostępnym dla kont o niższych uprawnieniach.
- ograniczyć logowanie administratorów na stacjach roboczych i hostach o niższym poziomie zaufania,
- stosować ścisłą separację kont uprzywilejowanych i zwykłych kont użytkowników,
- wdrożyć dedykowane stacje administracyjne do działań o wysokim poziomie uprawnień,
- monitorować operacje ładowania oraz modyfikacji hive rejestru użytkownika,
- zwiększyć priorytet alertów dotyczących zmian w usrclass.dat, klasach COM i skojarzeniach plików,
- dostosować publicznie dostępne zapytania detekcyjne do lokalnej telemetrii Microsoft Defender for Endpoint,
- ograniczać użycie współdzielonych i skradzionych poświadczeń przez MFA oraz zasadę najmniejszych uprawnień,
- przygotować szybki proces testowania i wdrożenia poprawek zaraz po ich publikacji.
Podsumowanie
LegacyHive pokazuje, że lokalna eskalacja uprawnień w Windows nadal może stanowić bardzo praktyczne zagrożenie, nawet jeśli publiczny exploit ma pewne ograniczenia. Istotą problemu jest możliwość przygotowania zmian w profilu użytkownika i rejestrze w taki sposób, aby przejąć wykonanie kodu po stronie bardziej uprzywilejowanego konta.
Dla zespołów SOC, administratorów Windows i architektów bezpieczeństwa najważniejsze są obecnie działania kompensacyjne, monitoring zmian w rejestrze oraz ograniczenie ekspozycji kont administracyjnych. W praktyce to właśnie dyscyplina operacyjna i szybka detekcja będą kluczowe do czasu pojawienia się oficjalnej poprawki producenta.
Źródła
- New Windows LegacyHive zero-day gives hackers admin privileges — https://www.bleepingcomputer.com/news/security/new-windows-legacyhive-zero-day-exploit-grants-hackers-admin-access/
- LegacyHive PoC discussion by Nightmare Eclipse — https://github.com/
- Will Dormann commentary on LegacyHive behavior — https://infosec.exchange/
- Kevin Beaumont detection queries for Microsoft Defender for Endpoint — https://github.com/
- Microsoft Security Response statement context — https://www.microsoft.com/