Chaotic Eclipse beschreibt „LegacyHive“ als Schwachstelle zur Rechteausweitung über ein beliebiges Laden von Registry-Hives im Windows User Profile Service. Für den veröffentlichten Proof of Concept seien ein weiteres Standardbenutzer-Konto sowie ein dritter Benutzername erforderlich, der auch zu einem Administratorkonto gehören könne. Wenn der PoC erfolgreich sei, werde der Hive des Zielbenutzers in der aktuellen Benutzerklassen-Wurzel eingebunden, erklärte der Forscher.
Nach Angaben von Chaotic Eclipse wurde der PoC bewusst abgespeckt, um eine öffentliche Ausnutzung zu erschweren. Der ursprüngliche Exploit habe keine zusätzlichen Benutzerzugangsdaten benötigt und sei auch nicht auf den Hive „usrclass.dat“ beschränkt gewesen. Grundsätzlich könne mit der Schwachstelle jeder Hive geladen werden, merkte der Forscher an.
Die Veröffentlichung steht im Kontext eines seit mindestens April 2026 schwelenden Konflikts zwischen Chaotic Eclipse und Microsoft. Der Forscher hatte mehrfach Details zu Exploits publik gemacht, bevor Microsoft Patches bereitstellen konnte, und dies mit einem Zusammenbruch der Kommunikation begründet. Drei der offengelegten Schwachstellen in Microsoft Defender wurden kurz nach der öffentlichen Bekanntgabe aktiv ausgenutzt.
In diesem Monat veröffentlichte Microsoft Sicherheitsupdates für eine weitere vom Forscher offengelegte Defender-Schwachstelle mit dem Namen „RoguePlanet“. Wie später bekannt wurde, können die neu eingeführten „Defense-in-Depth“-Aktualisierungen zur Behebung des Fehlers in bestimmten Szenarien dazu führen, dass Microsoft Defender beim Versuch, eine Datei zu öffnen, 8 Byte an Daten preisgibt. Microsoft teilte The Hacker News mit, den neuen Bericht zu untersuchen. Zu „LegacyHive“ lag zunächst keine Stellungnahme des Unternehmens vor.
Parallel dazu hat Microsoft mit dem Patch Tuesday vom Juli 2026 nach Angaben des Berichts eine Rekordzahl von 622 Schwachstellen behoben. Darunter sind zwei aktiv ausgenutzte Lücken zur Rechteausweitung: CVE-2026-56164 in SharePoint Server mit einem CVSS-Wert von 5,3 sowie CVE-2026-56155 in Active Directory Federation Services mit einem CVSS-Wert von 7,8.
CISA hat beide Schwachstellen in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Für Bundesbehörden der Federal Civilian Executive Branch gelten damit Fristen bis zum 17. beziehungsweise 28. Juli 2026, um die Updates einzuspielen.
In einer gesonderten Warnung erklärte CISA zudem, dass mehrere SharePoint-Server-Schwachstellen aktiv ausgenutzt werden, darunter CVE-2026-32201, CVE-2026-45659 und CVE-2026-56164. Laut Behörde betreffen sie alle unterstützten lokalen SharePoint-Server-Versionen — Subscription Edition, 2019 und 2016 — und ermöglichen Remote Code Execution sowie nachgelagerte Aktivitäten wie den Diebstahl von IIS-Maschinenschlüsseln, den Einsatz von Deserialisierungstechniken, den Aufbau von Persistenz und das Ausbringen von Malware.
Alex Vovk, CEO und Mitgründer von Action1, erklärte zu CVE-2026-56164, die Schwachstelle beruhe auf fehlender Authentifizierung für eine kritische Funktion. Dadurch könnten Angreifer per speziell präparierten Netzwerkanfragen Funktionen erreichen, die eigentlich eine Autorisierung voraussetzen, was in einer Rechteausweitung ende. Besonders exponiert seien direkt aus dem Internet erreichbare SharePoint-Server, da sich der Angriff aus der Ferne ohne gültige Zugangsdaten durchführen lasse.
Zusätzlich behebt das Juli-Update auch die kritische SharePoint-Server-Sicherheitsfunktionsumgehung CVE-2026-55040 mit einem CVSS-Wert von 9,1. Nach Angaben von Rapid7 liegt die Ursache in mehreren Problemen in der Pipeline zur Prüfung von JWT-Tokens. Ein entfernter, nicht authentifizierter Angreifer könne damit die Authentifizierung auf einem verwundbaren SharePoint-Server umgehen und auf dem Zielsystem als SharePoint-Site-Benutzer oder Administrator agieren. Rapid7 weist zudem darauf hin, dass sich diese Umgehung mit weiteren Schwachstellen in der authentifizierten Angriffsfläche der Zielseite verketten lasse.
