Sicherheit & Cyberabwehr

Legacyhive: Forscher veröffentlicht ungepatchten Windows-Exploit zur Rechteausweitung

17.07.2026 2 Min. Lesezeit
Alle Artikel

Ein Sicherheitsforscher unter dem Pseudonym Chaotic Eclipse (auch bekannt als Nightmare Eclipse) hat einen neuen Zero-Day-Exploit für Windows veröffentlicht. Der Exploit trägt den Namen Legacyhive und ermöglicht eine Rechteausweitung auf allen gängigen Windows Desktop- und Server-Versionen. Einen Patch gibt es bisher nicht.

Wie Legacyhive funktioniert

Legacyhive nutzt die Art, wie Windows Registry-Hives im Classes-Verzeichnis eines Standardnutzers eingebunden werden können. Ein Angreifer benötigt Zugriff auf zwei einfache Benutzerkonten und kann damit Aktionen mit Administratorrechten ausführen. Konkret lassen sich damit dem Admin-Konto zugeordnete Registry-Strukturen in den Kontext eines regulären Benutzers einbinden.

Sicherheitsforscher Kevin Beaumont und Will Dormann haben die Funktionsfähigkeit unabhängig bestätigt. Beaumont beschreibt einen möglichen Angriffspfad: Ein Angreifer überschreibt ein COM-Objekt, das beim Anmelden geladen wird. Meldet sich danach ein Admin an, wird Schadcode automatisch mit dessen Rechten ausgeführt.

Der Forscher gibt an, den Exploit-Code absichtlich abgeschwächt zu haben, um einen großflächigen Missbrauch zu erschweren. In der ursprünglichen Form soll kein zweiter Standardnutzer erforderlich sein, und beliebige Hives sollen sich ohne Einschränkungen übertragen lassen. Beaumont hat auf GitHub Erkennungsregeln veröffentlicht, die IT-Administratoren als vorübergehende Abhilfemaßnahme nutzen können.

Hintergrund und Microsofts Reaktion

Die Veröffentlichung fiel bewusst auf Microsofts Juli-Patchday, pünktlich wie schon frühere Leaks des Forschers. Chaotic Eclipse steht nach eigenen Angaben seit Längerem im Konflikt mit Microsoft über den Umgang mit Schwachstellen.

Microsoft hat die Veröffentlichung gegenüber Medien bestätigt und erklärt, die Sicherheitslücke zu untersuchen. Wann ein Patch erscheint, ist unklar. IT-Administratoren sollten in der Zwischenzeit Benutzerkontenkontrollen verschärfen, unnötige Standardnutzerkonten einschränken und die Erkennungsregeln von Beaumont einsetzen.