文章总结: 安全研究员公开Windows零日漏洞LegacyHive的PoC代码,该漏洞影响所有已打补丁的桌面和服务器系统,允许低权限用户读取管理员注册表数据。漏洞源于用户配置文件服务,虽非远程代码执行,但适合内网提权。研究员与微软因漏洞披露流程产生冲突,已连续公开多个零日漏洞。建议企业主动监控异常注册表加载行为并限制本地用户权限。 综合评分: 85 文章分类: 漏洞分析,威胁情报,红队,内网渗透
又撕微软!无补丁 LegacyHive 0day,低权限可读取管理员注册表数据
看雪学苑 看雪学苑
看雪学苑
2026年7月16日 17:59 上海
在小说阅读器读本章
去阅读
7 月补丁刚落地,一款全新 Windows 本地提权零日漏洞直接公开完整 PoC,全补丁桌面 / 服务器系统全部受影响,目前微软暂无修复方案、无官方漏洞编号!
补丁日变“打脸日”
7月14日,微软刚发布了堪称“史诗级”的7月补丁日更新,就在补丁发布后仅仅几个小时,化名 Nightmare Eclipse(也称Chaotic Eclipse)的安全研究员甩出了一枚新的Windows零日漏洞PoC(概念验证)代码,代号 LegacyHive 。
这枚漏洞在打完7月全部补丁的Windows系统上依然有效。也就是说,全球数亿Windows用户刚刚安装的“最新安全更新”,对这个漏洞毫无防御能力。
LegacyHive是什么?能让普通用户“偷看”管理员的数据
LegacyHive瞄准的是Windows核心组件——用户配置文件服务(User Profile Service,简称ProfSvc)。这个服务负责在用户登录时加载和卸载个人配置文件,是Windows运行的基础服务之一。
漏洞的核心原理是:一个普通权限的用户,可以利用该漏洞将另一个用户的注册表配置单元(registry hive)——甚至是本地管理员的——挂载到自己的注册表路径下。
打个比方:这就像公司里一个普通员工,突然拿到了CEO办公室的钥匙,虽然不能直接搬走保险柜,但可以翻看所有文件。
注册表单元中存储着用户的桌面设置、应用偏好、文件关联等敏感配置信息。攻击者拿到这些数据后,可以进一步寻找提权路径、窃取凭证,或者构建更复杂的攻击链。
好消息是:这并非远程代码执行漏洞,攻击者首先需要已经在目标系统上获得代码执行权限。也就是说,它更适合已经进入内网的攻击者进行横向移动和权限提升,不适合互联网大范围扫荡。
坏消息是:对于已经拿到企业内网入口的黑客来说,这几乎是完美的“提权跳板”。
“缩水版”PoC背后:原版更可怕
Nightmare Eclipse这次发布的PoC是经过“阉割”的版本。
研究员在GitHub上公开表示:“PoC被精简了,以防止被大规模滥用。原始版本的PoC不需要额外的用户凭证,也不仅限于usrclass.dat配置单元——任何注册表单元都可以通过这个漏洞加载,只是你需要一些‘脑细胞’来让PoC做到这一点。”
翻译成人话就是:我给你们看的只是冰山一角。真正完整的漏洞利用手法远比公开的版本更强大、更容易使用。
安全专家也普遍认为,尽管公开的PoC有所限制,但有能力的攻击者完全可以基于这些线索打造出完整可用的利用工具。
“一人单挑微软”:这场恩怨已持续三个月
LegacyHive并非孤立事件。这是Nightmare Eclipse自2026年4月以来公开的第9个Windows零日漏洞。
回顾一下这位“微软噩梦”的战绩:
- BlueHammer(CVE-2026-33825):微软Defender零日,已被在野利用
- RedSun(CVE-2026-41091):同样已被黑客积极利用
- UnDefend(CVE-2026-45498):已被在野利用
- YellowKey:BitLocker绕过漏洞
- GreenPlasma:CTFMON组件权限提升
- RoguePlanet:微软Defender零日,可获取SYSTEM权限
- GreatXML:BitLocker绕过,可在恢复模式下获取SYSTEM权限
这些漏洞不少在公开后几天内就被黑客用于实战攻击。
为什么非要“硬刚”微软?
Nightmare Eclipse声称:
- 自己提交的漏洞报告被微软驳回
- 未获得任何赏金补偿(微软零日漏洞赏金最高可达3万至10万美元)
- MSRC账户访问权限被撤销
- 研究人员的贡献**未得到应有的认可
5月底,微软官方发文公开批评这种“不负责任的披露” ,称其将客户置于不必要的风险之中。而Nightmare Eclipse则在社交媒体上强硬回击,承诺将继续公开更多漏洞。
一方说“你要按规矩来”,另一方说“你不守规矩在先”——这场公开撕扯已经让全球安全社区站队分化,也让无数Windows管理员在补丁与漏洞之间疲于奔命。
截至目前,LegacyHive没有CVE编号、没有微软安全公告、也没有官方补丁。
安全专家建议企业安全团队不要坐等补丁,而应主动进行威胁狩猎:
1.监控异常的用户配置单元加载行为——正常情况下,用户配置单元加载应由SYSTEM账户通过svchost.exe执行
2.限制本地用户的可信范围,最小化攻击面
3.在隔离的测试环境中验证PoC,评估自身风险
4.关注微软的后续回应
资讯来源:The Hacker News、The Register、HEAL Security、Cyderes、Security Affairs、DataBreachToday等
球分享
球点赞
球在看
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:看雪学苑 看雪学苑 看雪学苑《又撕微软!无补丁 LegacyHive 0day,低权限可读取管理员注册表数据》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论