🛡️ Executive Summary
- LegacyHive abusa di ProfSvc, symbolic link e una race condition per montare l’hive UsrClass.dat di un altro account nel registro dell’attaccante.
- Il PoC non assegna immediatamente privilegi SYSTEM, ma consente modifiche persistenti che possono attivarsi quando l’amministratore effettua il login.
- L’exploit pubblico funziona anche sui sistemi aggiornati a luglio 2026 e aumenta il rischio di integrazione in tool offensivi e campagne mirate.
Un nuovo exploit zero-day denominato LegacyHive colpisce tutte le versioni supportate di Windows e resta funzionante anche sui sistemi aggiornati con le patch di luglio 2026. La tecnica sfrutta il Windows User Profile Service, i symbolic link dell’Object Manager e una race condition per montare nel registro dell’utente corrente l’hive UsrClass.dat appartenente a un altro account, compreso un amministratore. Non produce direttamente una shell SYSTEM, ma fornisce una primitiva potente per modificare configurazioni caricate al successivo accesso dell’utente privilegiato. La pubblicazione del proof-of-concept poche ore dopo il Patch Tuesday amplia il rischio di riutilizzo offensivo prima dell’arrivo di una correzione ufficiale.
Cosa leggere
LegacyHive colpisce il servizio che gestisce i profili Windows
Il punto debole si trova in ProfSvc, il servizio di Windows responsabile del caricamento, della gestione e della rimozione dei profili utente. Ogni account dispone di hive di registro separati che contengono preferenze, associazioni dei file, configurazioni delle applicazioni e impostazioni della shell. Tra questi figura UsrClass.dat, normalmente montato sotto il percorso HKEY_USERS\<SID>_Classes e utilizzato per conservare informazioni collegate a HKEY_CURRENT_USER\Software\Classes. LegacyHive manipola il processo con cui ProfSvc individua e carica questi file, inducendo il sistema a montare l’hive di un account bersaglio all’interno del namespace accessibile all’attaccante. La falla viola quindi il confine tra profili che dovrebbe impedire a un utente standard di leggere o modificare le configurazioni private di un amministratore. Il problema assume rilievo soprattutto sui computer condivisi, sui server con più utenti, negli ambienti VDI e nei sistemi nei quali account operativi e amministrativi convivono sulla stessa macchina. La tecnica ricorda altre escalation recenti capaci di sfruttare componenti centrali di Windows anziché errori nelle applicazioni, come MiniPlasma, lo zero-day che concedeva accesso SYSTEM attraverso il driver Cloud Filter.
Il proof-of-concept combina hive offline, symbolic link e race condition
La catena pubblicata utilizza tre elementi che, considerati separatamente, appartengono al normale funzionamento del sistema operativo. Il primo consiste nella modifica offline di un hive controllato dall’attaccante, come NTUSER.dat, per inserire riferimenti capaci di alterare il percorso utilizzato durante il caricamento del profilo. Il secondo sfrutta i symbolic link dell’Object Manager, meccanismo interno attraverso il quale Windows risolve oggetti, directory e namespace del kernel. Creando collegamenti nel momento opportuno, l’attaccante può reindirizzare una richiesta destinata al proprio profilo verso il file appartenente all’utente bersaglio.

Il terzo elemento è una race condition sincronizzata con l’avvio di un processo nel contesto dell’altro account: LegacyHive interviene nella finestra temporale in cui ProfSvc prepara il caricamento e sostituisce la destinazione prima che il servizio completi i controlli. Il risultato è che UsrClass.dat dell’amministratore viene montato sotto HKU\_Classes nel contesto dell’utente standard. La complessità della sequenza non riduce necessariamente il rischio, perché il codice pubblico automatizza sincronizzazione, preparazione degli oggetti e manipolazione dei percorsi.
L’accesso all’hive amministrativo abilita persistenza e code execution differita
Una volta ottenuto l’accesso in lettura e scrittura all’hive del profilo amministrativo, l’attaccante può alterare configurazioni che saranno utilizzate quando l’account bersaglio effettuerà il login o aprirà determinati file. L’esempio più semplice consiste nel modificare le associazioni dei file, facendo in modo che un’estensione apparentemente innocua avvii un eseguibile scelto dall’aggressore. È possibile intervenire anche su handler COM, classi registrate, shell extension e altre chiavi per-user consultate da Explorer e dalle applicazioni. LegacyHive non esegue quindi necessariamente codice elevato nel momento stesso dello sfruttamento, ma prepara una escalation differita: quando l’amministratore compie un’azione ordinaria, Windows carica la configurazione alterata nel suo contesto e può avviare il payload con privilegi superiori. Questa distinzione è importante per il rilevamento, perché la modifica e l’esecuzione possono avvenire a distanza di ore o giorni e apparire come eventi separati. Il controllo dell’hive consente inoltre di leggere cronologia di Explorer, dati applicativi e artefatti forensi, ampliando il valore della vulnerabilità anche per attività di ricognizione e sottrazione di informazioni.
Il PoC pubblico è limitato ma dimostra una primitiva più ampia
La versione pubblicata richiede le credenziali di un account standard e il nome di un terzo utente da utilizzare come bersaglio, che può essere amministrativo. Inoltre, il proof-of-concept si limita al caricamento di UsrClass.dat e non sottrae direttamente hash di password o segreti custoditi negli hive SAM e SECURITY. Il ricercatore sostiene però che la versione originaria, non resa disponibile, fosse più potente e non richiedesse credenziali aggiuntive. Anche nella forma attuale, il codice dimostra una violazione del modello di isolamento dei profili e può essere combinato con tecniche già note per ottenere persistenza, hijacking COM o esecuzione al login. Il fatto che il PoC non consegni immediatamente una shell amministrativa non deve quindi portare a classificarlo come innocuo. Nelle catene reali, una vulnerabilità locale viene raramente utilizzata da sola: segue spesso un accesso iniziale ottenuto tramite phishing, infostealer, browser exploit o credenziali compromesse e permette di trasformare un account limitato in una presenza più stabile e difficile da rimuovere.
La disclosure diretta riapre il confronto sugli zero-day pubblici
LegacyHive è stato pubblicato da Chaotic Eclipse, conosciuto anche come Nightmare Eclipse o MSNightmare, poche ore dopo il Patch Tuesday di luglio. Il codice C++ è apparso su GitHub e in repository alternativi prima dell’assegnazione di un CVE e prima della disponibilità di una patch. Microsoft ha dichiarato di essere a conoscenza del problema e di sostenere un percorso di coordinated vulnerability disclosure, ma la pubblicazione diretta lascia agli amministratori una finestra nella quale l’exploit è disponibile mentre la correzione non lo è. Il ricercatore aveva già rilasciato altre tecniche Windows senza completare il normale processo di segnalazione privata, alimentando un confronto tra il diritto alla ricerca indipendente e il rischio di fornire capacità immediatamente utilizzabili agli attaccanti. Matrice Digitale aveva approfondito lo stesso conflitto nell’articolo in cui Microsoft criticava la divulgazione pubblica delle vulnerabilità zero-day di Windows. La questione non riguarda soltanto l’etica della pubblicazione: una PoC dettagliata riduce drasticamente il tempo necessario a gruppi criminali e broker di exploit per produrre una versione affidabile e integrarla nei propri framework.
I sistemi aggiornati a luglio 2026 restano vulnerabili
Le verifiche condotte dalla comunità indicano che LegacyHive funziona sulle versioni desktop e server di Windows ancora supportate, comprese quelle che hanno ricevuto gli aggiornamenti di sicurezza di luglio 2026. La vulnerabilità non risulta associata a un CVE e Microsoft non ha ancora distribuito una correzione specifica, quindi il normale controllo dello stato delle patch non consente di distinguere un sistema esposto da uno protetto. Questa condizione rende essenziali le mitigazioni operative. Gli ambienti nei quali utenti standard possono conoscere o utilizzare credenziali di altri account presentano un rischio superiore, così come i sistemi condivisi nei quali un amministratore effettua login interattivi sulla stessa macchina utilizzata da utenti non fidati. L’utilizzo quotidiano di account privilegiati, invece di account separati per le sole operazioni amministrative, aumenta le possibilità che le modifiche predisposte nell’hive vengano attivate. La vulnerabilità arriva dopo un Patch Tuesday già caratterizzato da correzioni urgenti e da falle rimaste aperte, scenario simile a quello descritto nell’analisi su tre zero-day Microsoft corretti mentre RoguePlanet restava privo di patch.
Defender può rilevare alcuni passaggi ma non elimina la vulnerabilità
Il ricercatore Will Dormann e altri analisti hanno confermato il funzionamento dell’attacco e predisposto query di detection per Microsoft Defender for Endpoint. Il rilevamento può concentrarsi sulla creazione insolita di symbolic link nell’Object Manager, sull’accesso a file UsrClass.dat appartenenti ad altri SID, sul caricamento anomalo di hive sotto HKEY_USERS e sulle sequenze di avvio processo sincronizzate con ProfSvc. Anche modifiche inattese alle associazioni dei file o alle classi COM di account privilegiati possono costituire indicatori utili. Tuttavia, la telemetria varia tra versioni di Windows e prodotti EDR, mentre alcuni eventi possono assomigliare ad attività amministrative legittime. Le query pubbliche devono quindi essere adattate all’ambiente e correlate con identità, sessioni e timeline dei processi. Un alert isolato sulla lettura di UsrClass.dat non prova uno sfruttamento; una combinazione tra symbolic link, caricamento dell’hive e modifica di chiavi sensibili produce invece un segnale più affidabile.
Le mitigazioni devono ridurre la convivenza tra account standard e privilegiati
In assenza di patch, le organizzazioni devono limitare le condizioni che rendono utile LegacyHive. Gli amministratori dovrebbero evitare login interattivi sui dispositivi utilizzati da account non privilegiati e adottare workstation amministrative dedicate per la gestione dei sistemi critici. Le credenziali privilegiate non devono essere condivise né utilizzate per avviare applicazioni ordinarie sullo stesso host. La protezione con Windows LAPS, Credential Guard e account separati non blocca direttamente il caricamento dell’hive, ma riduce la possibilità che una compromissione locale venga combinata con credenziali riutilizzabili. È opportuno monitorare ProfSvc, limitare gli utenti locali, verificare la presenza di associazioni dei file anomale e acquisire copie degli hive dei profili amministrativi per confronti forensi. Negli ambienti VDI e multiutente, dove la separazione tra profili è una proprietà fondamentale, il rischio deve essere valutato con particolare urgenza. I team di sicurezza dovrebbero inoltre predisporre una ricerca retrospettiva, perché la tecnica potrebbe essere stata scoperta o utilizzata prima della pubblicazione.
LegacyHive mostra il valore offensivo delle primitive locali
La gravità di LegacyHive non deriva da una singola azione spettacolare, ma dalla capacità di violare un confine di sicurezza considerato affidabile. Montare l’hive di un amministratore non equivale ancora a possedere l’intero sistema, ma consente di preparare esecuzioni future, modificare il comportamento delle applicazioni e raccogliere artefatti che normalmente restano separati. In una catena d’attacco, questa primitiva può diventare il passaggio che trasforma un accesso iniziale limitato in persistenza amministrativa. La disponibilità del codice sorgente e l’assenza di patch aumentano la probabilità di varianti più semplici, affidabili e integrate con altri exploit. Fino all’intervento di Microsoft, le difese devono concentrarsi sulla separazione degli account, sulla riduzione dei login privilegiati e sul monitoraggio degli hive di registro, senza confondere l’assenza di sfruttamenti pubblicamente osservati con l’assenza di rischio.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









