Nightmare Eclipse vuelve a estropear el fin de semana de Microsoft: llega el exploit LegacyHive

Nightmare Eclipse vuelve a estropear el fin de semana de Microsoft: llega el exploit LegacyHive

Sin parche ni plazo para corregirlo — el código funcional ya circula por la red.

image

Incluso Windows completamente actualizado no siempre protege contra técnicas ya conocidas por los especialistas: el exploit publicado LegacyHive permite a un usuario ordinario preparar la ejecución de código con privilegios de administrador en el siguiente inicio de sesión de una cuenta privilegiada.

El autor bajo el seudónimo Nightmare Eclipse divulgó la vulnerabilidad de día cero poco después de la publicación de las actualizaciones de julio de Microsoft. El fallo afecta al servicio de perfiles de usuario de Windows y aún no ha recibido un identificador CVE. El código de prueba funciona en las versiones actuales del sistema.

LegacyHive permite montar una rama del registro de otro usuario en la cuenta actual y modificar ajustes relacionados con el inicio de programas. El analista Will Dormann confirmó el funcionamiento del exploit y mostró un escenario de prueba en el que abrir un archivo de texto lanzaba la calculadora. Una modificación más peligrosa podría ejecutar código arbitrario tras el inicio de sesión del administrador.

La versión publicada está deliberadamente limitada. Para su ejecución se requieren las credenciales de otra cuenta ordinaria y el nombre de un tercer usuario, que puede ser un administrador. Según el autor, la variante original no necesitaba credenciales adicionales y permitía cargar otras ramas del registro; sin embargo, esas capacidades fueron eliminadas para dificultar su uso masivo.

Kevin Beaumont también verificó LegacyHive y preparó consultas para detectar rastros de explotación mediante Microsoft Defender for Endpoint. No hay información sobre el uso de la vulnerabilidad en ataques reales hasta ahora.

Microsoft confirmó que está investigando el informe y comprobando qué productos se ven afectados. La empresa aún no ha publicado una actualización ni ha dado plazos para corregir el fallo. Mientras no haya una solución, las organizaciones pueden usar las consultas publicadas para Microsoft Defender for Endpoint para buscar actividad sospechosa relacionada con LegacyHive.

Anteriormente Nightmare Eclipse publicó información y código de prueba para una serie de vulnerabilidades de día cero, incluyendo GreatXML, RedSun, MiniPlasma, YellowKey, BlueHammer, UnDefend, GreenPlasma y RoguePlanet. Microsoft corrigió GreenPlasma, MiniPlasma y YellowKey en las actualizaciones de junio de 2026, y solucionó RoguePlanet en julio.