
El investigador de seguridad Chaotic Eclipse (también conocido como Nightmare-Eclipse) ha lanzado un nuevo exploit de prueba de concepto (PoC) llamado LegacyHive.
Esto se describe como una vulnerabilidad de elevación de privilegios de carga de colmena arbitraria en el Servicio de perfiles de usuario de Windows. El Servicio de perfiles de usuario de Windows (también conocido como ProfSvc) es un componente central del sistema que administra entornos y cuentas de usuario.
Chaotic Eclipse dijo: «PoC requiere credenciales de usuario estándar separadas y un tercer nombre de usuario (que también puede ser una cuenta de administrador)». «Una PoC exitosa dará como resultado que el subárbol del usuario objetivo se monte en la raíz de la clase de usuario actual».
Los investigadores dijeron que el exploit se eliminó para evitar la explotación pública y agregaron que el exploit original no requería credenciales de usuario adicionales y no se limitaba a la colmena «usrclass.dat».
«Esta vulnerabilidad podría usarse para cargar en cualquier colmena, pero un PoC necesitaría células cerebrales para hacerlo», dijeron los investigadores.
Vale la pena señalar que funciona en todas las versiones de servidor y escritorio de Windows compatibles, incluidas aquellas que ejecutan la última actualización del martes de parches de julio de 2026.
Chaotic Eclipse y Microsoft han estado envueltos en una amarga disputa desde al menos abril de 2026, y los investigadores publicaron detalles de múltiples exploits citando fallas en la comunicación antes de que el fabricante de Windows pudiera aplicar parches. Tres de las vulnerabilidades de Microsoft Defender fueron explotadas activamente poco después de su divulgación.
A principios de este mes, el gigante tecnológico lanzó una actualización de seguridad para otra vulnerabilidad de Defender conocida como RoguePlanet que fue descubierta por investigadores. Sin embargo, una nueva «actualización de defensa en profundidad» introducida para abordar esta falla ha revelado que Microsoft Defender puede potencialmente filtrar 8 bytes de datos al intentar abrir un archivo en ciertos escenarios.
Microsoft le dijo a The Hacker News que está investigando el nuevo informe. Nos comunicamos con la empresa para comentar sobre LegacyHive. Actualizaré el artículo si recibo una respuesta.
Centrarse en las fallas de SharePoint Server
El desarrollo se produce después de que Microsoft enviara parches para un récord de 622 fallas, incluidas dos fallas de escalada de privilegios en SharePoint Server (CVE-2026-56164, puntuación CVSS: 5.3) y se informó que los Servicios de federación de Active Directory (CVE-2026-56155, puntuación CVSS: 7.8) fueron explotados activamente.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó ambas vulnerabilidades a su Catálogo de vulnerabilidades explotadas conocidas (KEV) y requiere que las agencias del Poder Ejecutivo Civil Federal (FCEB) las parcheen antes del 17 y 28 de julio de 2026, respectivamente.
«El proceso del martes de parches, que ha sido relativamente estable durante muchos años, ha experimentado una interrupción significativa desde principios de 2026», dijo en un comunicado Adam Barnett, ingeniero principal de software de Rapid7. «Además del rápido aumento en los informes y descubrimientos de vulnerabilidades impulsados por IA, Microsoft está lidiando con la aparición de una serie de vulnerabilidades que han sido expuestas de una manera que causa la mayor incomodidad a Redmond».
En un aviso separado, la agencia dijo que es consciente de que múltiples fallas de SharePoint Server, incluidas CVE-2026-32201, CVE-2026-45659 y CVE-2026-56164, pueden explotarse activamente para permitir que los ciberatacantes obtengan acceso no autorizado a instancias susceptibles.
«Estas vulnerabilidades afectan a todas las versiones locales compatibles de SharePoint Server (ediciones de suscripción, 2019 y 2016) e incluyen el establecimiento de ejecución remota de código (RCE) y actividades posteriores a la explotación, como el robo de claves de máquina de Internet Information Services (IIS) y la realización de técnicas de deserialización para ganar persistencia e implementar malware», dijo CISA.
Alex Vovk, director ejecutivo y cofundador de Action1, dijo sobre CVE-2026-56164: «Esta falla se debe a la falta de autenticación para una característica crítica, lo que permite a un atacante acceder a funciones que requieren autenticación».
«Un atacante podría enviar una solicitud de red especialmente diseñada para acceder a una funcionalidad que requiere autenticación, lo que podría resultar en una escalada de privilegios. Esta vulnerabilidad afecta principalmente la integridad del sistema al permitir acciones no autorizadas sin requerir autenticación previa o interacción del usuario. Los servidores SharePoint con acceso a Internet están particularmente en riesgo porque los ataques se pueden realizar de forma remota sin credenciales válidas».
Tenga en cuenta que la actualización de julio de 2026 también aborda otra vulnerabilidad de omisión de característica de seguridad crítica de SharePoint Server (CVE-2026-55040, puntuación CVSS: 9,1). Un atacante remoto no autenticado podría eludir la autenticación en un servidor SharePoint vulnerable y realizar acciones como usuario o administrador del sitio SharePoint.
«Esta vulnerabilidad se debe a varios problemas en el proceso de validación del token JWT», dijo Rapid7. «Un atacante que explota con éxito CVE-2026-55040 puede realizar operaciones en un sitio de SharePoint de destino como el usuario especificado. Además, esta omisión de autenticación podría generar más vulnerabilidades dentro de la superficie de ataque autenticada del sitio de destino».
Source link
