LegacyHive-Exploit, Windows-Lücke

LegacyHive-Exploit: Windows-Lücke umgeht Juli-Patchday

Veröffentlicht: 16.07.2026 um 16:14 Uhr, Redaktion boerse-global.de

Sicherheitsforscher veröffentlicht Angriff auf Windows User Profile Service. Selbst vollständig gepatchte Systeme sind betroffen.

LegacyHive-Exploit: Neue Windows-Lücke nach Rekord-Patchday entdeckt
Leuchtendes, zerbrochenes Schild-Symbol auf dunklem digitalem Bildschirm mit abstraktem Code, symbolisiert kritischen Zero-Day-Exploit. Illustration mit AI erstellt übermittelt durch boerse-global.de

Ein Sicherheitsforscher hat einen neuen Angriff auf Windows veröffentlicht, der selbst aktuelle Systeme verwundbar macht. Der Exploit nutzt eine Schwachstelle im Benutzerprofil-Dienst aus.

Die Sicherheitslücke mit dem Codenamen LegacyHive wurde am Dienstag von einem Forscher namens Nightmare Eclipse veröffentlicht – nur Stunden nachdem Microsoft seinen Juli-Patchday abgeschlossen hatte. Der Exploit zielt auf den Windows User Profile Service (ProfSvc) ab und ermöglicht eine lokale Rechteausweitung. Selbst Systeme mit den aktuellsten Sicherheitsupdates sind betroffen.

Rekord-Patchday ohne Schutz für diese Lücke

Der Juli 2026 ging als historischer Patchday in die Microsoft-Geschichte ein. Der Konzern schloss zwischen 570 und 622 Sicherheitslücken – ein Rekordwert. Darunter befanden sich zwei weitere Zero-Day-Schwachstellen: CVE-2026-56164 in SharePoint und CVE-2026-56155 in ADFS. LegacyHive jedoch blieb ungepatcht und hat bislang keine offizielle CVE-Kennung erhalten.

Wie der Angriff funktioniert

Der Exploit nutzt einen Fehler im Windows User Profile Service aus. Technische Analysen zeigen: Ein normaler Benutzer mit niedrigen Berechtigungen kann die Registry-Daten eines Administrators oder eines anderen Nutzers einsehen und manipulieren. Konkret greift der Angriff auf Dateien wie NTUSER.DAT und UsrClass.dat zu.

Anzeige

Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen durch solche Sicherheitslücken – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Report zu Cyber Security Trends jetzt sichern

Der veröffentlichte Proof-of-Code verwendet Systemfunktionen wie NtCreateSymbolicLinkObject, NtCreateDirectoryObjectEx und CreateProcessWithLogonW. Durch geschickte Manipulation dieser Prozesse erlangt ein Standardbenutzer Zugriff auf sensible Registry-Informationen, die eigentlich Administratoren vorbehalten sind.

Betroffene Systeme und Einschränkungen

Die Schwachstelle betrifft alle aktuell unterstützten Versionen von Windows 10 und Windows 11 sowie Windows Server 2016, 2019 und 2022. Sicherheitsexperten bestätigen: Der Exploit funktioniert auf vollständig gepatchten Systemen.

Allerdings gibt es eine Einschränkung: Der aktuelle Proof-of-Code benötigt bestimmte Voraussetzungen. Ein Angreifer muss die Anmeldedaten eines zweiten Standard-Benutzerkontos besitzen und einen dritten Benutzernamen angeben, um die Rechteausweitung auszulösen. Der Forscher hat den veröffentlichten Code bewusst abgespeckt, um einen sofortigen massenhaften Missbrauch zu verhindern.

Microsoft wurde über die Entdeckung informiert und untersucht den Vorfall. Ein außerplanmäßiges Sicherheitsupdate gibt es bislang nicht.

Anzeige

Neue Cyberrisiken erfordern ein schnelles Umdenken in der Unternehmenssicherheit, um rechtliche Pflichten und Bedrohungen rechtzeitig zu erkennen. Dieser kostenlose Report klärt auf, welche Maßnahmen Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit auch ohne teure Investitionen zu stärken. Gratis E-Book: IT-Sicherheit für Unternehmen

Schutzmaßnahmen für Unternehmen

Bis ein offizielles Update erscheint, empfehlen Sicherheitsexperten folgende Maßnahmen:

  • Überwachung bestimmter Windows-Event-IDs: Besonders relevant sind die IDs 4648, 4624, 4688, 4663 und 4657, die Anmeldeversuche und Prozesserstellungen protokollieren.
  • Einschränkung lokaler Konten: Unternehmen sollten die Erstellung neuer lokaler Benutzerkonten unterbinden.
  • Überwachung des User Profile Service: Auffällige Aktivitäten des Dienstes sollten sofort geprüft werden.

Der Sicherheitsforscher Kevin Beaumont hat zudem ein Erkennungsskript veröffentlicht, das Administratoren bei der Identifizierung möglicher Angriffe unterstützt. Branchenbeobachter weisen darauf hin, dass der zunehmende Einsatz von Künstlicher Intelligenz bei der Schwachstellensuche durch Forscher und Softwarehersteller zur steigenden Zahl entdeckter Sicherheitslücken beiträgt.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69780817 |