← Inicio

LegacyHive: Nueva vulnerabilidad de día cero en Windows otorga privilegios de administrador

1) El hecho Se ha descubierto una nueva vulnerabilidad de día cero denominada 'LegacyHive' en Windows, que permite a los atacantes obtener privilegios completos de administrador en los sistemas afectados. El fallo afecta a múltiples versiones de Windows, incluyendo Windows 11 y Windows Server 2022. Microsoft ha sido notificada y está trabajando en un parche. Detalles técnicos parciales ya circulan en foros de seguridad, aunque el exploit completo aún no se ha publicado.

2) Contexto LegacyHive explota un componente del manejo del registro de Windows — la base de datos central donde el sistema operativo almacena configuraciones. El nombre 'Legacy' (heredado/legado) es revelador: el código vulnerable probablemente data de versiones tempranas de Windows y nunca fue debidamente endurecido contra técnicas de ataque modernas. Esta es la más reciente de una serie de vulnerabilidades de escalada de privilegios locales que afectan a Windows — un patrón recurrente que expone la enorme deuda técnica acumulada por décadas de compromiso con la compatibilidad hacia atrás.

3) Análisis Las vulnerabilidades de escalada local de privilegios (LPE) son el paso de seguimiento más común después del acceso inicial en ataques sofisticados. Rara vez son el punto de entrada — pero casi siempre son el segundo movimiento. Un atacante que ya tenga ejecución limitada (vía phishing, malware o una vulnerabilidad remota) usa un LPE para elevar su acceso a SYSTEM o Administrador. Una vez que eso ocurre, el juego terminó: el atacante desactiva defensas, instala persistencia y extrae datos. El 'Legacy' en el nombre de esta falla es una señal de alerta específica: el código heredado de Windows es notoriamente frágil porque fue escrito antes de que existieran modelos formales de amenazas, en lenguajes sin protecciones de memoria, bajo supuestos de confianza que ya no son válidos. Las empresas que retrasan la aplicación de parches (común en entornos regulados con juntas de aprobación de cambios) son el objetivo principal. Se espera que CISA emita una directiva vinculante para agencias federales de EE.UU.

4) Qué observar El cronograma de parches de Microsoft es la variable crítica. Si bien la empresa sigue el ciclo mensual de Patch Tuesday, los días cero con explotación activa suelen merecer actualizaciones de emergencia fuera del ciclo. Monitoree los informes de explotación activa — los investigadores pueden o no haber observado uso en campañas reales. CISA casi con certeza agregará la CVE a su catálogo de Vulnerabilidades Explotadas Conocidas. Para equipos de seguridad: aislar sistemas críticos y auditar registros de escalada de privilegios son medidas defensivas inmediatas mientras se espera el parche.

Fuente: BleepingComputer