Vulnerabilidad Zero-Day ‘LegacyHive’ Permite Escalada de Privilegios en Windows (Sin Parche) 

Red-glow Windows logo with illuminated four-pane window on the right, in a dark red background, conveying Windows branding in a dramatic light.

Se ha revelado una vulnerabilidad de Zero-Day, denominada LegacyHive (o MSNightmare), que afecta a todas las ediciones de escritorio y servidor de Windows compatibles actualmente. La falla abusa del Servicio de Perfiles de Usuario de Windows (ProfSvc) para permitir la Escalada de Privilegios Locales (LPE). Existe código de prueba de concepto (PoC) público, y Microsoft actualmente no ha emitido un parche ni asignado un identificador CVE formal. 


Veredicto Analítico 
  • Estado: Zero-Day activo sin parche oficial. Código de explotación (PoC) disponible públicamente en GitHub y validado por investigadores de seguridad independientes. 
  • Confianza: Absoluta. Validado mediante pruebas de ingeniería inversa que demuestran la evasión de controles de acceso en sistemas con las últimas actualizaciones de julio de 2026 aplicadas. 
  • Riesgo para SOC, TDIR y Redes: Alto. Aunque requiere acceso local previo (post-brecha), otorga a un atacante que ya posee una cuenta de bajos privilegios la capacidad de secuestrar el entorno de un Administrador. Esto facilita el despliegue de malware persistente, desactivación de herramientas de seguridad (EDR) y control total del sistema. 
  • Urgencia Operativa: Alta (Fase de Contención y Monitoreo). Al no existir un parche de Microsoft, los equipos de seguridad deben apoyarse exclusivamente en la monitorización de telemetría y el endurecimiento de políticas de inicio de sesión. 
  • Base del Veredicto: Abuso en las rutinas de carga de subárboles de registro (hives) del ProfSvc, lo que permite a un usuario estándar montar y modificar el archivo de configuración de clases (UsrClass.dat) perteneciente a cuentas administrativas. 

Hallazgos Clave 
  • Vulnerabilidad Identificada: ‘LegacyHive’ / MSNightmare (Sin CVE asignado). 
  • Componente Afectado: Servicio de Perfiles de Usuario de Windows (ProfSvc). 
  • Impacto: Permite a un usuario local sin privilegios modificar el registro de un Administrador, controlando cómo esa cuenta inicia aplicaciones u objetos COM (Ejecución de Código y Escalada de Privilegios). 
  • Estado de Parcheo: Ninguno. Funciona en versiones de Windows con el “Patch Tuesday” de julio de 2026 aplicado. 

Análisis Técnico: Cadena de Explotación 

La explotación se centra en la suplantación de identidad mediada por el kernel y condiciones de carrera para forzar al sistema a conceder acceso a archivos protegidos: 

  • Acceso Inicial (Post-Brecha): El atacante debe tener acceso interactivo o de consola al sistema Windows con una cuenta de usuario estándar (bajos privilegios). 
  • Montaje del Subárbol (Hive): Utilizando el exploit LegacyHive, el atacante instruye al servicio ProfSvc para que resuelva y abra el archivo UsrClass.dat del Administrador objetivo. Aunque el intento inicial falla con ACCESS DENIED, la herramienta fuerza un reintento bajo un contexto de suplantación de NT AUTHORITY\SYSTEM que resulta exitoso. 
  • Inyección y Modificación: El registro de clases del Administrador queda montado en el HKEY_CLASSES_ROOT del atacante. El atacante altera asociaciones de archivos (ej. cambiar .txt para que ejecute código malicioso) o sobrescribe objetos COM/Extensiones de Shell que se cargan automáticamente. 
  • Ejecución Privilegiada: Cuando el Administrador legítimo inicia sesión en la máquina, el propio sistema operativo ejecuta el código o las configuraciones inyectadas por el atacante con privilegios administrativos. Dado que la ejecución se realiza en el contexto real del administrador, la actividad parece “normal” y evade la detección básica de los EDR. 

Tácticas, Técnicas y Procedimientos (MITRE ATT&CK) 
  • Escalada de Privilegios: Explotación para Escalada de Privilegios (T1068). 
  • Persistencia / Escalada: Ejecución Activada por Eventos: Secuestro del Modelo de Objetos Componentes (COM Hijacking – T1546.015). 
  • Evasión de Defensas: Modificación del Registro del Sistema (Modify Registry – T1112) utilizando contextos de suplantación. 

Recomendaciones Operativas 

Para Administración de Sistemas, Identidad y TI (Acción Prioritaria) 

  • Restricción de Inicio de Sesión Local: Dado que el ataque requiere acceso local, restrinja estrictamente qué usuarios estándar pueden iniciar sesión interactiva en servidores críticos y estaciones de trabajo de administradores. 
  • Segmentación de Estaciones de Trabajo: Implementar modelos de administración en niveles (Tiering). Los administradores de dominio o de servidores no deben iniciar sesión en las mismas estaciones de trabajo donde operan usuarios estándar. 
  • Revisión de Endpoints: Hasta que Microsoft emita una mitigación oficial, considere cualquier sistema donde se detecten los binarios asociados a las herramientas LegacyHive, NightmareEclipse o previas del investigador (ej. RoguePlanet) como comprometido a nivel de root. 

Para el Centro de Operaciones de Seguridad (SOC) y Threat Hunting 

  • Monitoreo de Registro: Configurar alertas en el SIEM/EDR para detectar modificaciones inusuales en las claves de registro relacionadas con asociaciones de archivos o registro de objetos COM (ej. HKU\<SID_Admin>\Software\Classes\) cuando el proceso que realiza la modificación no pertenece al SID del propio Administrador. 
  • Supervisión de Procesos: Vigilar la actividad de regedit.exe u otras utilidades de manipulación de registro si son ejecutadas por cuentas de servicio o usuarios estándar, especialmente si intentan acceder o cargar archivos .dat de otros perfiles en el directorio C:\Users\. 

Related Post