← Inicio

Windows LegacyHive: vulnerabilidad de día cero concede privilegios de administrador

El hecho Un investigador de seguridad conocido como "Nightmare Eclipse" ha publicado públicamente un exploit de día cero para Windows llamado LegacyHive. La vulnerabilidad permite a un atacante elevar sus privilegios al nivel SYSTEM — el máximo nivel de acceso en Windows — sin necesidad de autenticación previa, explotando un componente heredado del registro del sistema operativo. El exploit fue publicado en foros de seguridad y ya circula como código abierto, lo que permite su integración tanto en kits de herramientas criminales como en marcos de pruebas de penetración ofensivas.

Contexto Windows mantiene docenas de subsistemas heredados de las décadas de 1990 y 2000 por razones de compatibilidad, creando una superficie de ataque difícil de reducir sin romper aplicaciones empresariales. LegacyHive ataca un hive de registro que data de las primeras versiones de Windows NT y que nunca recibió las mismas capas de protección que los componentes más modernos. La divulgación pública sin parche disponible pone a millones de máquinas en riesgo inmediato, especialmente en entornos corporativos donde los ciclos de parcheo son largos. Históricamente, los exploits de elevación de privilegios en Windows siguen un patrón recurrente: Microsoft corrige, pero nuevas variantes surgen en subsistemas relacionados.

Análisis Lo que hace a LegacyHive particularmente peligroso no es su sofisticación técnica sino su simplicidad operativa. La elevación de privilegios local (LPE) combinada con cualquier punto de entrada inicial — un phishing exitoso, un servicio comprometido — transforma el acceso limitado en control total del sistema. En cadenas de ataque reales, esto significa que una sola vulnerabilidad puede escalar a compromiso completo del dominio. La decisión del investigador de publicar el código antes de que Microsoft lanzara una corrección aumenta la urgencia, pero también expone a organizaciones que no pueden implementar mitigaciones temporales como endurecimiento de ACLs del registro. LegacyHive se suma a una larga lista de exploits LPE en el ecosistema Windows — PrintNightmare, ZeroLogon, SeriousSAM — todos atacando subsistemas que Microsoft mantiene por compatibilidad, pero que se convierten en vectores de ataque recurrentes.

Qué observar El próximo Patch Tuesday (agosto de 2026) o una actualización de emergencia de Microsoft fuera del ciclo regular. Los equipos de seguridad deben monitorear alertas de EDR ante manipulaciones inusuales de hives del registro e implementar bloqueos temporales de drivers cuando sea posible. Este incidente reabre el debate sobre el aislamiento de subsistemas antiguos de Windows — una conversación que resurge con cada nuevo exploit en componentes como Windows Search o el Print Spooler. La comunidad de seguridad debe observar si LegacyHive es incorporado a frameworks como Metasploit y Cobalt Strike, lo que amplificaría significativamente su impacto en ataques reales.

Fuente: BleepingComputer