LegacyHive: nowy zero-day w Windows umożliwia eskalację uprawnień do poziomu administratora - Security Bez Tabu

LegacyHive: nowy zero-day w Windows umożliwia eskalację uprawnień do poziomu administratora

Cybersecurity news

Wprowadzenie do problemu / definicja

LegacyHive to publicznie ujawniony exploit typu zero-day dla systemu Windows, który pozwala na lokalną eskalację uprawnień nawet na w pełni zaktualizowanych systemach. Problem dotyczy usługi Windows User Profile Service i mechanizmu obsługi profili użytkowników, a jego praktyczne wykorzystanie może prowadzić do przejęcia wykonania kodu w kontekście konta o wyższych uprawnieniach.

W centrum ataku znajduje się możliwość manipulacji określonymi gałęziami rejestru użytkownika, w tym strukturami powiązanymi z plikiem usrclass.dat. To właśnie ten element sprawia, że podatność może zostać użyta jako pomost między dostępem do zwykłego konta a późniejszym uzyskaniem uprawnień administracyjnych.

W skrócie

Exploit LegacyHive został opublikowany przez badacza działającego pod pseudonimem Nightmare Eclipse jako proof-of-concept. Według dostępnych informacji technika działa na aktualnie załatanych wersjach Windows i w chwili ujawnienia nie otrzymała jeszcze identyfikatora CVE.

  • podatność umożliwia lokalną eskalację uprawnień,
  • atak wymaga dostępu do konta o niskich uprawnieniach,
  • publiczny PoC potrzebuje dodatkowych poświadczeń zwykłego użytkownika oraz wskazania trzeciego konta,
  • niezależni badacze potwierdzili skuteczność techniki,
  • opublikowano pierwsze zapytania detekcyjne dla Microsoft Defender for Endpoint,
  • Microsoft analizuje zgłoszenie.

Kontekst / historia

Ujawnienie LegacyHive nastąpiło krótko po lipcowym Patch Tuesday 2026, co zwróciło uwagę branży na brak oficjalnej poprawki dla tej klasy problemu. W praktyce oznacza to, że organizacje muszą polegać na monitoringu, twardych zasadach administracyjnych oraz środkach kompensacyjnych do czasu wydania łat przez producenta.

Przypadek wpisuje się też w szerszy trend publikowania proof-of-conceptów jeszcze przed zakończeniem pełnego procesu koordynowanego ujawnienia. Dla zespołów bezpieczeństwa oznacza to skrócenie czasu na reakcję, konieczność szybkiej walidacji ryzyka oraz natychmiastowe wdrażanie tymczasowych zabezpieczeń operacyjnych.

Analiza techniczna

Z technicznego punktu widzenia LegacyHive wykorzystuje zachowanie Windows User Profile Service związane z obsługą hive rejestru użytkownika. Opublikowana wersja PoC koncentruje się na manipulacji plikiem usrclass.dat oraz odpowiadającymi mu gałęziami rejestru, które przechowują m.in. klasy obiektów, skojarzenia i ustawienia istotne dla działania sesji użytkownika.

Kluczowym etapem ataku jest zamontowanie docelowego hive rejestru w kontekście aktualnego użytkownika. Dzięki temu możliwe staje się wprowadzanie zmian w obszarach, które później mogą zostać odczytane lub wykonane w chwili logowania innego użytkownika, uruchomienia określonej funkcji systemowej albo aktywacji mechanizmów opartych o klasy COM i skojarzenia plików.

Jeżeli napastnik uzyska wcześniej dostęp do konta standardowego i przygotuje odpowiednie modyfikacje, kolejnym krokiem może być oczekiwanie na logowanie użytkownika uprzywilejowanego. W takim scenariuszu exploit nie musi zapewniać natychmiastowego pełnego przejęcia hosta, lecz działa jako etap pośredni w łańcuchu ataku prowadzącym do trwałej eskalacji uprawnień.

To szczególnie niebezpieczne w środowiskach współdzielonych, na stacjach administracyjnych oraz wszędzie tam, gdzie administratorzy logują się na hostach używanych wcześniej przez konta o niskim poziomie zaufania. Dodatkowo pojawiły się już pierwsze reguły wykrywania, co sugeruje, że artefakty ataku mogą być widoczne w telemetrii EDR i logach dotyczących ładowania hive rejestru oraz nietypowych zmian w profilach użytkowników.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem wykorzystania LegacyHive jest przejście z konta nieuprzywilejowanego do kontekstu administracyjnego. Dla atakującego oznacza to większą kontrolę nad systemem, możliwość obchodzenia części zabezpieczeń, instalowania trwałego malware, dostępu do wrażliwych danych lokalnych oraz przygotowania dalszego ruchu bocznego w sieci.

Ryzyko jest szczególnie wysokie w organizacjach, które dopuszczają mieszanie zwykłej pracy użytkownika z aktywnościami administracyjnymi na tych samych hostach. W takich warunkach nawet ograniczony PoC może stać się realnym wektorem wejścia do bardziej zaawansowanego przejęcia środowiska.

  • wysokie ryzyko dla stacji współdzielonych i hostów administracyjnych,
  • możliwość trwałej eskalacji po zalogowaniu konta uprzywilejowanego,
  • potencjalne wyłączanie zabezpieczeń i instalacja złośliwego oprogramowania,
  • większa ekspozycja środowisk z ograniczoną telemetrią EDR,
  • zagrożenie wzrasta tam, gdzie nie ma separacji kont administracyjnych.

Rekomendacje

Do czasu opublikowania oficjalnej poprawki organizacje powinny potraktować LegacyHive jako istotny problem operacyjny i wdrożyć środki kompensacyjne. Najważniejsze jest ograniczenie sytuacji, w których użytkownik uprzywilejowany loguje się na systemie wcześniej dostępnym dla kont o niższych uprawnieniach.

  • ograniczyć logowanie administratorów na stacjach roboczych i hostach o niższym poziomie zaufania,
  • stosować ścisłą separację kont uprzywilejowanych i zwykłych kont użytkowników,
  • wdrożyć dedykowane stacje administracyjne do działań o wysokim poziomie uprawnień,
  • monitorować operacje ładowania oraz modyfikacji hive rejestru użytkownika,
  • zwiększyć priorytet alertów dotyczących zmian w usrclass.dat, klasach COM i skojarzeniach plików,
  • dostosować publicznie dostępne zapytania detekcyjne do lokalnej telemetrii Microsoft Defender for Endpoint,
  • ograniczać użycie współdzielonych i skradzionych poświadczeń przez MFA oraz zasadę najmniejszych uprawnień,
  • przygotować szybki proces testowania i wdrożenia poprawek zaraz po ich publikacji.

Podsumowanie

LegacyHive pokazuje, że lokalna eskalacja uprawnień w Windows nadal może stanowić bardzo praktyczne zagrożenie, nawet jeśli publiczny exploit ma pewne ograniczenia. Istotą problemu jest możliwość przygotowania zmian w profilu użytkownika i rejestrze w taki sposób, aby przejąć wykonanie kodu po stronie bardziej uprzywilejowanego konta.

Dla zespołów SOC, administratorów Windows i architektów bezpieczeństwa najważniejsze są obecnie działania kompensacyjne, monitoring zmian w rejestrze oraz ograniczenie ekspozycji kont administracyjnych. W praktyce to właśnie dyscyplina operacyjna i szybka detekcja będą kluczowe do czasu pojawienia się oficjalnej poprawki producenta.

Źródła

  1. New Windows LegacyHive zero-day gives hackers admin privileges — https://www.bleepingcomputer.com/news/security/new-windows-legacyhive-zero-day-exploit-grants-hackers-admin-access/
  2. LegacyHive PoC discussion by Nightmare Eclipse — https://github.com/
  3. Will Dormann commentary on LegacyHive behavior — https://infosec.exchange/
  4. Kevin Beaumont detection queries for Microsoft Defender for Endpoint — https://github.com/
  5. Microsoft Security Response statement context — https://www.microsoft.com/