Inmediatamente después del Patch Tuesday de julio de 2026, el investigador de seguridad conocido como Chaotic Eclipse ha publicado un nuevo exploit de prueba de concepto (PoC). Es un exploit para una vulnerabilidad de elevación de privilegios en Windows. La vulnerabilidad se conoce como «LegacyHive«. El fallo afecta al Servicio de Perfil de Usuario de Windows (ProfSvc). Representa una amenaza significativa para todos los usuarios del sistema operativo.

Detalles del PoC para la Vulnerabilidad LegacyHive
La vulnerabilidad LegacyHive permite a un atacante con credenciales de un usuario estándar montar el archivo de registro (hive) de un usuario objetivo en el contexto de su propia sesión. El PoC publicado, aunque limitado, demuestra que la técnica es funcional en todas las versiones de Windows. Esto incluye a las más recientes con el parche de julio de 2026 aplicado.
Según las declaraciones del investigador, el exploit original es mucho más poderoso:
- No requiere credenciales adicionales de usuario.
- No se limita al archivo «usrclass.dat», pudiendo cargar cualquier hive del sistema.
- La versión publicada fue «simplificada» para evitar su uso malicioso directo, pero la técnica central está expuesta.
El Tenso Contexto entre Investigadores y Microsoft
El lanzamiento del PoC para la vulnerabilidad LegacyHive se produce en medio de una tensa disputa pública entre Chaotic Eclipse y Microsoft. El investigador ha publicado varios exploits de este tipo antes de que la compañía pudiera parchearlos, citando una «ruptura en la comunicación».
La situación se ha vuelto muy crítica. Algunos de los fallos publicados previamente, relacionados con Microsoft Defender, estuvieron bajo explotación activa poco después de su divulgación. Este patrón de comportamiento ha puesto a Microsoft en una posición difícil, teniendo que gestionar una oleada de vulnerabilidades «zero-day» divulgadas públicamente, lo que aumenta la presión sobre sus equipos de seguridad.
Recomendaciones ante el riesgo por el Zero-Day LegacyHive
Hasta que Microsoft publique un parche oficial, las organizaciones deben tomar medidas para mitigar el riesgo de LegacyHive:
- Reducir el número de usuarios con credenciales en los sistemas, especialmente en aquellos críticos.
- Implementar el principio de mínimo privilegio, asegurando que los usuarios solo tengan los permisos necesarios para su trabajo.
- Monitorear los eventos del sistema relacionados con el servicio de perfil de usuario (ProfSvc). Esto es para detectar actividades anómalas.
- Aislar sistemas críticos de la red y restringir el acceso RDP. El vector de ataque inicial suele ser el robo de credenciales.
- Mantener una postura de «assume breach» y preparar planes de respuesta a incidentes para una posible escalada de privilegios.
Mira esta nota
