Faille LegacyHive Windows
  • 15 juillet 2026
  • ComputaSYS
  • 0


Le plus gros Patch Tuesday de l’histoire de Microsoft n’aura pas mis longtemps avant d’être pris en défaut. Le 14 juillet 2026, soit le jour même, le chercheur Nightmare Eclipse a dévoilé LegacyHive, une faille permettant une élévation de privilèges dans le service de profils utilisateur de Windows. Ni CVE, ni correctif, et un PoC qui fonctionne sur les machines à jour. Voici ce que l’on sait.

Le scénario commence à devenir familier. Microsoft publie ses correctifs mensuels, et dans la foulée, Nightmare Eclipse (alias Chaotic Eclipse ou MSNightmare) dévoile une faille de sécurité zero-day, non corrigée. En juin, c’était RoguePlanet, publiée juste après les mises à jour. Cette fois, le chercheur a dévoilé une nouvelle faille moins d’une heure après la mise en ligne du Patch Tuesday de juillet 2026.

La cible de LegacyHive : le service profsvc de Windows

La cible cette fois-ci, c’est profsvc, le service qui charge et décharge les profils utilisateur lors des ouvertures de session sur Windows. Le chercheur la présente comme une vulnérabilité permettant un chargement arbitraire d’une ruche de registre menant à une élévation de privilèges.

Le principe est le suivant : le service ciblé tourne avec les privilèges SYSTEM et un utilisateur standard peut détourner son mécanisme de chargement de profils pour lui faire monter une ruche contrôlée par l’attaquant. Résultat, la ruche d’un autre utilisateur, administrateur compris, se retrouve montée dans le classes root de l’utilisateur courant. Ceci ouvre la porte à d’autres actions qui peuvent aller du vol d’identifiants à la persistance via le registre.

Il s’agit d’une élévation de privilèges en local, il faut donc bien comprendre que LegacyHive ne représente pas l’accès initial. Toutefois, une fois que l’attaquant dispose d’un premier accès sur un PC Windows, cela peut lui permettre d’en prendre le contrôle.

Source : Nightmare Eclipse

Un PoC bridé volontairement

Nouveauté par rapport aux publications précédentes de Nightmare Eclipse : le code diffusé n’est pas complet. Visiblement, il a décidé de se calmer un peu. C’est en tout cas ce qu’il précise dans le README du dépôt, puisqu’il affirme avoir bridé le PoC afin de tenter d’empêcher son exploitation publique.

Il y a des contraintes supplémentaires dans cette version publique :

Elle exige les identifiants d’un second utilisateur standard, plus le nom d’un troisième compte, qui peut être un administrateur.

Elle se limite à la ruche usrclass.dat.

Pour autant, il dispose d’une version plus agressive : le PoC original ne nécessitait aucun identifiant supplémentaire et n’était pas limité à cette seule ruche du Registre. D’après le chercheur, n’importe quelle ruche peut être chargée. Et surtout, le code serait fonctionnel sur toutes les installations Windows et Windows Server, y compris avec les mises à jour de juillet 2026 installées.

Ni CVE ni correctif, et un bras de fer qui dure

Aucun identifiant CVE attribué, aucun bulletin Microsoft, aucun correctif disponible : un scénario habituel avec les failles divulguées par Nightmare Eclipse depuis plusieurs mois. En effet, le conflit dure depuis avril 2026 sur fond de rupture du dialogue et d’incompréhension entre le chercheur et le MSRC de Microsoft.

Il dispose toujours d’un coup d’avance : Microsoft met toujours plusieurs jours ou semaines à corriger les failles divulguées. Dans le cas présent, cela pourrait pousser la firme de Redmond à sortir une mise à jour hors bande destinée à patcher cette faille. À moins qu’une mesure d’atténuation applicable facilement soit envisageable : la balle est désormais dans le camp de Microsoft.

Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *