Nightmare Eclipse zufolge missbraucht LegacyHive eine Sicherheitslücke im Windows User Profile Service. Der veröffentlichte Proof of Concept erschien nur Stunden nach den Juli-2026-Sicherheitsupdates von Microsoft. Eine CVE-Nummer gibt es für die Schwachstelle bislang nicht.

Der Forscher sagt, die veröffentlichte Fassung sei absichtlich eingeschränkt worden, um eine breite öffentliche Ausnutzung zu verhindern. Nach seiner Beschreibung benötigt der Proof of Concept die Zugangsdaten eines weiteren Standardbenutzers und einen dritten Benutzernamen. Wenn die Ausnutzung gelingt, werde die Hive des Zielbenutzers im Klassenstamm des aktuellen Benutzers eingebunden. In der ursprünglichen Fassung seien keine zusätzlichen Zugangsdaten nötig gewesen; außerdem sei sie nicht auf die usrclass.dat-Hive begrenzt gewesen, sondern grundsätzlich auf andere Hives anwendbar gewesen.

Will Dormann, Principal Vulnerability Analyst bei Tharros, hat den LegacyHive-Exploit nach eigenen Angaben getestet. Er erklärt, eine erfolgreiche Ausnutzung ermögliche es Nicht-Administratoren, die Klassen-Registry-Hive zu verändern und so automatische Codeausführung zu erreichen, sobald sich das Administratorkonto an einem kompromittierten System anmeldet. Als Beispiel nannte Dormann, dass sich .txt-Dateien so verknüpfen ließen, dass sie mit calc.exe geöffnet werden.

Einen Tag nach der Veröffentlichung des Proof of Concept bestätigte auch der Cybersicherheitsexperte Kevin Beaumont, dass der Exploit funktioniert. Zudem veröffentlichte er Abfragen zur Erkennung von LegacyHive-Ausnutzung für Microsoft Defender for Endpoint, die Unternehmensplattform für Endpunktsicherheit von Microsoft.

Microsoft erklärte gegenüber BleepingComputer, dem Unternehmen sei die gemeldete Schwachstelle bekannt und man untersuche aktiv die Gültigkeit sowie die mögliche Anwendbarkeit dieser Behauptungen. Weiter teilte ein Sprecher mit, Microsoft verpflichte sich dazu, Sicherheitsprobleme zu untersuchen und betroffene Produkte so schnell wie möglich zu aktualisieren, um Kunden zu schützen. Zugleich verwies das Unternehmen auf seine Unterstützung für koordinierte Offenlegung von Schwachstellen, bei der Funde gründlich geprüft und behoben werden, bevor sie öffentlich werden.

In den vergangenen Monaten hatte Nightmare Eclipse bereits mehrere Zero-Day-Exploits für Windows-Schwachstellen in Microsoft Defender, BitLocker und verschiedenen Windows-Komponenten offengelegt, darunter RoguePlanet, BlueHammer, RedSun, YellowKey, GreenPlasma, MiniPlasma und UnDefend. Microsoft behob GreenPlasma, MiniPlasma und YellowKey im Rahmen der Patch-Tuesday-Updates im Juni 2026 sowie RoguePlanet in den Juli-Sicherheitsupdates.

Auf die Offenlegungen von Nightmare Eclipse reagierte Microsoft zudem mit Warnungen vor rechtlichen Schritten gegen Personen, die sich an „böswilligen Aktivitäten beteiligen, die unseren Kunden echten Schaden zufügen“. Das veranlasste Cybersicherheitsexperten zu der Einschätzung, das Unternehmen habe den Sicherheitsforscher damit direkt bedroht.