LegacyHive ist laut Nightmare Eclipse eine Schwachstelle zur lokalen Privilegienausweitung im Windows User Profile Service. Der Fehler soll es erlauben, Hives anderer Benutzerkonten zu laden, einschließlich der Hives von Administratorkonten.

Der Forscher, der auch unter dem Namen Chaotic Eclipse auftritt, veröffentlichte dazu einen Proof-of-Concept-Exploit. Dieser funktioniert seinen Angaben zufolge auf Systemen, auf denen Microsofts Juli-2026-Patches installiert sind. „Der Proof of Concept benötigt die Anmeldedaten eines weiteren Standardbenutzers und einen dritten Benutzernamen, der auch ein Administratorkonto sein kann. Wenn der Proof of Concept erfolgreich ist, wird der Hive des Zielbenutzers in der Klassenwurzel des aktuellen Benutzers eingebunden“, erklärt der Forscher.

Im Unterschied zu zuvor veröffentlichten Zero-Days von Nightmare Eclipse wurde LegacyHive nur mit einem abgespeckten Demonstrationscode veröffentlicht. Das soll nach Darstellung des Forschers verhindern, dass die Sicherheitslücke sofort in realen Angriffen ausgenutzt werden kann.

Nach Angaben von Nightmare Eclipse war der ursprüngliche Exploit weitreichender. Demnach benötigte er zunächst keine Benutzeranmeldedaten und erlaubte das Laden beliebiger Hives, nicht nur der Datei usrclass.dat. Das sei weiterhin möglich, so der Forscher, erfordere aber zusätzlichen Aufwand.

Nightmare Eclipse hat bislang nach eigenen Angaben mehr als ein halbes Dutzend Zero-Days in Microsoft-Produkten veröffentlicht. Dazu zählen BlueHammer, RedSun und UnDefend, die laut Quelltext bereits in Angriffen ausgenutzt wurden, sowie GreenPlasma, RoguePlanet, YellowKey und GreatXML.

Microsoft hat den LegacyHive-Exploit bislang nicht bestätigt oder kommentiert. SecurityWeek hat das Unternehmen nach einer Stellungnahme gefragt und angekündigt, den Bericht bei einer Antwort zu aktualisieren.