Windows 再曝高危零日:LegacyHive 权限

七月十四日,安全研究员 Nightmare-Eclipse 在代码托管平台公开了名为 LegacyHive 的完整漏洞利用方案。这份 PoC 直指 Windows 用户配置文件服务(User Profile Service,UPS)的底层设计缺陷,通过滥用注册表单元加载机制实现跨用户权限提升。令人不安的是,作者明确声明该代码已在打满 2026 年 7 月补丁的全系列 Windows 桌面与服务器版本上验证通过——这意味着常规的系统更新并未封堵这一攻击面。

截至目前,微软尚未为该漏洞分配 CVE 编号,也未见官方安全通告。但安全社区的共识很清晰:这绝非一次孤立的技术披露,而是 Nightmare-Eclipse 与微软长达数月公开对峙的延续。


从注册表加载到系统接管:LegacyHive 的攻击路径拆解

LegacyHive 的核心思路并不复杂,却足够致命。Windows 用户配置文件服务在加载用户环境时,需要挂载对应的注册表单元文件(Hive),常见的如usrclass.dat。正常情况下,这一流程受到严格的访问控制与完整性校验约束。然而 Nightmare-Eclipse 发现,现有缓解措施存在可被绕过的逻辑缝隙。

在已公开的 PoC 版本中,攻击者能够将目标用户的注册表单元挂载到当前会话的类根目录(HKCU\Software\Classes)下。这一步完成后,低权限进程便可读取甚至篡改其他用户的配置数据。更值得警惕的是,作者透露公开版本经过了刻意精简——原始实现无需额外凭据,且能够加载任意注册表单元,远不止usrclass.dat这一种。

这种攻击路径与早年间 UPS 相关的注册表加载漏洞确有相似之处,但 LegacyHive 的独到之处在于它成功绕过了后续引入的多层防护。换句话说,微软此前为同类问题打的"补丁",在这个新变种面前部分失效了。


影响面评估:几乎覆盖全部现役 Windows 生态

根据 Nightmare-Eclipse 的声明,LegacyHive 的影响范围相当宽泛。从 Windows 10、Windows 11 到 Windows Server 2016/2019/2022,乃至最新的服务器版本,只要安装了 2026 年 7 月的累积更新,理论上都暴露在风险之下。

权限提升漏洞的可怕之处从来不在于技术本身有多晦涩,而在于其"链式反应"。攻击者一旦通过钓鱼、水坑或其他入口在目标机器上获得普通用户权限,LegacyHive 这样的本地提权工具就能将其迅速转化为完整的系统控制权。对于企业环境而言,这意味着域内一台失陷终端可能成为横向移动的跳板。

虽然当前尚无野外利用的实证报告,但回顾 Nightmare-Eclipse 此前的披露历史——BlueHammer、RedSun、UnDefend 等六个零日漏洞中,有三个在补丁发布前即遭黑产武器化——我们有理由认为,从 PoC 公开到实际攻击之间的时间窗口可能极短。


公开对峙背后的隐情:一场始于四月的安全争端

要理解 LegacyHive 的分量,必须将其放回 Nightmare-Eclipse 与微软的冲突脉络中审视。今年四月,该研究员在未遵循协调漏洞披露流程的情况下,连续释放了多个 Windows 零日漏洞。美国网络安全与基础设施安全局(CISA)随后将其中数项列入"已知被利用漏洞目录",侧面印证了其现实威胁。

微软方面的回应相当强硬:除公开谴责这种"不负责任的披露"外,还直接封禁了 Nightmare-Eclipse 的相关账户,并暗示可能追究法律责任。双方自此陷入僵局。而 7 月 14 日 LegacyHive 的释出,几乎像是一份"如期而至"的回应——它既是对微软补丁策略的又一次压力测试,也宣告这场争端短期内不会平息。


当前可行的防御策略:在补丁到来之前

既然官方修复尚未落地,防御方只能依托临时管控手段降低暴露面。以下几点值得优先落实:

限制本地标准账户的创建权限。已公开的 LegacyHive PoC 需要第二组有效凭据才能触发,因此收紧账户生命周期管理能够直接抬高攻击门槛。对于非必要场景,应禁用普通用户自行创建本地账户的能力。

加强对用户配置文件服务的异常行为监控。具体而言,需关注是否存在非当前用户会话的注册表单元加载请求,以及HKCU\Software\Classes路径下是否出现来源不明的键值。EDR 产品若具备注册表操作审计功能,建议将相关事件标记为高危。

同时,安全团队应当持续追踪微软月度安全更新的发布动态。一旦补丁可用,优先在面向互联网的终端和特权访问工作站(PAW)上完成部署。考虑到此类漏洞在企业内网中的扩散速度,补丁推送的时效性往往比完整性更为关键。


写在最后

LegacyHive 的出现再次揭示了一个残酷事实:操作系统最基础的组件——用户配置文件服务、注册表加载机制——依然藏着足以颠覆权限模型的暗礁。Nightmare-Eclipse 的披露方式固然充满争议,但它迫使防御者直面一个现实:补丁并非万能,纵深防御才是底线。对于安全运维人员来说,接下来的几周将是关键的窗口期——在野外利用大规模出现之前,完成检测规则的更新与权限管控的收紧,或许是眼下最务实的选择。