Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Nueva vulnerabilidad 0-day de Windows en LegacyHive permite cargar el registro de otro usuario


Se ha publicado un exploit de prueba de concepto llamado LegacyHive, el cual aprovecha una vulnerabilidad de elevación de privilegios en el Servicio de Perfiles de Usuario de Windows. Este fallo permite que un usuario estándar cargue el registro de otro usuario bajo su propia raíz de clases de registro, exponiendo así datos de configuración críticos del sistema, aplicaciones y perfiles.





Se ha publicado un exploit de prueba de concepto llamado LegacyHive, que permite una vulnerabilidad de elevación de privilegios en el Servicio de Perfil de Usuario de Windows, permitiendo que un usuario estándar cargue la colmena del registro de otro usuario bajo su propia raíz de clases de registro.

Las colmenas del registro son archivos que almacenan datos de configuración de Windows, servicios, aplicaciones y perfiles de usuario. La carga o exposición incorrecta de estos archivos puede permitir el acceso no autorizado o la escalada de privilegios.

El repositorio de GitHub describe a LegacyHive como una "vulnerabilidad de elevación de privilegios por carga de colmena arbitraria del servicio de perfil de usuario de Windows".

El PoC de LegacyHive publicado por Nightmare-Eclipse afirma funcionar en todas las versiones compatibles de Windows para escritorio y servidor que tengan instaladas las actualizaciones de seguridad de julio de 2026.

Según el investigador de seguridad Nightmare-Eclipse, el PoC publicado al público ha sido restringido intencionalmente para reducir el riesgo de abuso inmediato, requiriendo credenciales de un segundo usuario estándar y el nombre de usuario de una tercera cuenta, que puede ser la de un administrador.

El repositorio fue creado poco antes del lanzamiento, y el código fuente del PoC junto con la documentación README se realizaron aproximadamente 11 horas antes de que fuera accesible al público. El proyecto tiene licencia MIT.

PoC en LegacyHive.cpp (fuente: Nightmare-Eclipse)

Si se ejecuta con éxito, la colmena de usuario de la cuenta objetivo se montará dentro de la ubicación del registro de clases del usuario actual. En su forma sin restricciones, la técnica original no requería credenciales de usuario adicionales.

No se limitaba a la colmena UsrClass.dat, que normalmente contiene asociaciones de archivos, configuraciones de shell, configuraciones COM y ajustes de clase de aplicación.

El investigador indicó que el exploit original podía cargar colmenas arbitrarias, mientras que la versión pública fue simplificada antes de su lanzamiento.

Este comportamiento es crítico para la seguridad ya que las colmenas del registro pueden contener valores que afectan a cómo Windows inicia el software, resuelve objetos COM, gestiona tipos de archivos y aplica configuraciones específicas del usuario.

Un atacante que manipule el contexto de carga de la colmena de un usuario privilegiado podría identificar rutas de escalada adicionales basadas en la configuración del sistema local y los datos del registro accesibles.

Actualmente, la divulgación no especifica un número de CVE, aviso de Microsoft o un parche oficial que aborde directamente a LegacyHive.

Su compatibilidad con sistemas parcheados en julio de 2026 sugiere que no debes asumir que las actualizaciones mensuales rutinarias resuelven el problema reportado.

Se aconseja a los administradores de Windows restringir el acceso local a usuarios confiables, monitorizar actividades inusuales de carga de perfiles y revisar la telemetría de los endpoints para detectar accesos inesperados a los archivos del registro de perfil de usuario, incluidos NTUSER.DAT y UsrClass.dat.

Los equipos de seguridad también deben seguir la respuesta de Microsoft y validar el PoC únicamente dentro de entornos de prueba aislados y autorizados.

Esta publicación enfatiza los riesgos continuos que plantean las vulnerabilidades locales de escalada de privilegios de Windows, particularmente aquellas que afectan a los servicios centrales que cargan y gestionan los datos del perfil de usuario.



Fuentes:
https://cybersecuritynews.com/legacyhive-windows-0-day-vulnerability/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.