Опубликован новый эксплойт LegacyHive: уязвимость Windows позволяет получить права администратора

2026-07-17 204 комментарии
Исследователь Nightmare Eclipse опубликовал эксплойт LegacyHive для неизвестной ранее уязвимости Windows User Profile Service. Microsoft пока не присвоила проблеме CVE и не выпустила исправление, а работоспособность PoC уже подтвердили независимые эксперты.

Исследователь безопасности под псевдонимом Nightmare Eclipse (или Chaotic Eclipse) опубликовал эксплойт «нулевого дня» для Windows под названием LegacyHive, который позволяет злоумышленникам повысить привилегии до уровня администратора даже на полностью обновлённых системах.

Nightmare Eclipse опубликовал демонстрационный эксплойт (PoC) спустя несколько часов после выхода июльского набора обновлений «Вторника Патчей» (Patch Tuesday) от Microsoft. По словам исследователя, эксплойт использует уязвимость в службе Windows User Profile Service, которой Microsoft пока не присвоила идентификатор CVE, что затрудняет её отслеживание.

При этом, в отличие от предыдущих эксплойтов, опубликованных Nightmare Eclipse, демонстрационная версия LegacyHive была специально доработана и теперь требует дополнительных учётных данных для эксплуатации. Это усложняет использование уязвимости в реальных атаках.

Исследователь пояснил:

Для работы PoC нужны учётные данные ещё одного обычного пользователя и имя третьей учётной записи – это может быть администратор. При успешной эксплуатации реестр целевого пользователя будет подключён к разделу Classes Root текущего пользователя.

Исходная версия не требовала дополнительных учётных данных и не ограничивалась файлом usrclass.dat. Через эту уязвимость можно было загрузить любой куст реестра, но для доработки PoC потребовались бы определённые знания.

Как объяснил ведущий аналитик уязвимостей компании Tharros Уилл Дорманн (Will Dormann), успешная эксплуатация позволяет обычному пользователю изменить раздел реестра Classes и добиться автоматического запуска кода при входе администратора в скомпрометированную систему.

Дорманн отметил:

Например, в качестве наглядного примера можно настроить открытие файлов .txt через calc.exe. Более опытные злоумышленники легко найдут способы добиться куда более серьёзных последствий, в том числе без какого-либо участия пользователя.

Через день после публикации PoC эксперт по кибербезопасности Кевин Бомонт (Kevin Beaumont) также подтвердил, что эксплойт работает. Он опубликовал запросы для обнаружения попыток эксплуатации LegacyHive в корпоративной платформе защиты конечных устройств Microsoft Defender for Endpoint (MDE).

Реакция Microsoft

На момент публикации материала BleepingComputer представитель Microsoft не предоставил комментарий по поводу LegacyHive.

Ранее компания уже реагировала на публикации Nightmare Eclipse предупреждениями о возможных юридических мерах против тех, кто ведёт «вредоносную деятельность, причиняющую реальный вред нашим клиентам». Эксперты по кибербезопасности расценили это как прямую угрозу в адрес исследователя.

Публикации эксплойтов стали частью продолжающегося спора между Nightmare Eclipse и Microsoft о подходе компании к программе bug bounty и практике раскрытия уязвимостей.

Другие эксплойты Nightmare Eclipse

За последние месяцы Nightmare Eclipse опубликовал эксплойты «нулевого дня» для нескольких уязвимостей Windows. Они затрагивали Microsoft Defender, BitLocker и другие компоненты системы. Среди них:

  • RoguePlanet (CVE-2026-50656) – повышение привилегий до уровня SYSTEM в Microsoft Defender;
  • BlueHammer (CVE-2026-33825) – локальное повышение привилегий в Microsoft Defender;
  • RedSun (CVE-2026-41091) – повышение привилегий до SYSTEM с обходом Microsoft Defender;
  • YellowKey (CVE-2026-45585) – обход защиты BitLocker через среду восстановления WinRE;
  • GreenPlasma – повышение привилегий до уровня SYSTEM;
  • MiniPlasma – повышение привилегий до уровня SYSTEM;
  • UnDefend (CVE-2026-45498) – блокировка обновлений сигнатур Microsoft Defender обычным пользователем.

Уязвимости GreenPlasma, MiniPlasma и YellowKey Microsoft исправила в июне 2026 года. Уязвимость RoguePlanet компания закрыла в июльских обновлениях безопасности.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте