En bref

  • LegacyHive : zero-day non patché dans le Windows User Profile Service permettant une escalade de privilèges locale (LPE) vers SYSTEM/administrateur — CVSS estimé 7.8 à 8.8
  • Systèmes affectés : Windows 10, Windows 11, Windows Server 2016/2019/2022 — y compris les systèmes entièrement patchés avec les mises à jour de juillet 2026
  • Action urgente : aucun patch disponible — déployer les détections EDR spécifiques, activer Credential Guard et restreindre les accès locaux aux serveurs critiques

Les faits

Le 15 juillet 2026, soit moins de 24 heures après le Patch Tuesday de Microsoft qui avait corrigé 570 vulnérabilités dont 3 zero-days, le chercheur en sécurité pseudonyme "Nightmare Eclipse" (également connu sous "Chaotic Eclipse") a publié sur GitHub le code d'exploitation d'un nouveau zero-day Windows non patché, baptisé LegacyHive. Cette divulgation publique délibérée représente la quatrième d'une série de zero-days Windows publiés par ce même chercheur en 2026 — après BlueHammer, RedSun et UnDefend, qui ont tous été ultérieurement patchés et ajoutés au catalogue CISA KEV après détection d'exploitation réelle. Selon BleepingComputer et SecurityWeek, le chercheur justifie ces publications par une rupture de communication avec le processus de réponse aux vulnérabilités de Microsoft (MSRC). Au 18 juillet 2026, Microsoft n'a ni attribué d'identifiant CVE ni communiqué de feuille de route de correction pour LegacyHive.

LegacyHive cible le service Windows User Profile Service (profsvc) — le composant système responsable du chargement du profil utilisateur, des paramètres, de l'environnement de bureau et des ruches de registre lors de l'ouverture d'une session Windows. Chaque compte Windows possède des fichiers de ruche de registre correspondants, notamment NTUSER.DAT (ruche principale de profil) et UsrClass.dat (ruche des classes, utilisée pour les associations de types de fichiers et les extensions shell). Le service profsvc est responsable du montage de ces fichiers dans l'arborescence du registre à la connexion. La faille exploite une condition de compétition temporelle (TOCTOU — Time-of-Check to Time-of-Use) combinée à une substitution de chemin dans le processus de validation et de chargement des ruches par profsvc.

Le mécanisme d'exploitation fonctionne en manipulant le chemin de fichier que le service User Profile vérifie lors d'une opération de chargement de profil. Entre le moment où le service vérifie le chemin cible (time-of-check) et le moment où il ouvre et charge réellement la ruche (time-of-use), l'exploit substitue un chemin différent — un chemin pointant vers la ruche d'un compte administrateur plutôt que vers la ruche de l'utilisateur standard appelant. Lorsque la condition de compétition est gagnée, le service monte la ruche de l'administrateur dans l'arborescence de registre de l'utilisateur standard, sous HKEY_CLASSES_ROOT. Cela confère à l'attaquant un accès en lecture-écriture sur la sous-arborescence HKEY_CLASSES_ROOT du compte administrateur cible.

Comme l'a analysé le chercheur Will Dormann cité par BleepingComputer, il s'agit d'une primitive puissante permettant notamment le détournement d'objets COM (COM Object Hijacking), la redirection de handlers de fichiers ou la manipulation d'extensions shell qui s'exécuteront avec les droits élevés de l'administrateur lors de ses prochaines actions. En pratique, la chaîne d'exploitation complète mène à une exécution de code en contexte SYSTEM via la manipulation des sous-clés de registre HKCR (HKEY_CLASSES_ROOT) de l'administrateur, offrant une escalade de privilèges complète depuis un compte utilisateur standard.

Le code PoC publié sur GitHub est délibérément affaibli (neutered PoC) par le chercheur : il nécessite un identifiant utilisateur standard supplémentaire et un troisième nom de compte (pouvant être un nom de compte administrateur), rendant l'armement immédiat plus difficile. Cependant, plusieurs chercheurs indépendants, dont des membres de l'équipe de recherche ThreatLocker, ont confirmé via démonstration vidéo publiée le 16 juillet 2026 que le mécanisme de vulnérabilité sous-jacent est réel et fonctionnel sur des systèmes Windows 11 et Windows Server 2022 entièrement patchés avec les mises à jour de juillet 2026. La version complète non affaiblie de l'exploit n'a pas été publiée mais pourrait être reconstruite à partir du PoC affaibli avec un effort de rétro-ingénierie modéré.

Le contexte de divulgation est significatif. Nightmare Eclipse avait communiqué ce zero-day au MSRC dans le cadre d'un processus de divulgation coordonnée. Selon ses déclarations publiques reprises par The Hacker News, Microsoft aurait refusé d'engager le dialogue sur cette divulgation, similairement aux précédents zero-days. Le chercheur a choisi la divulgation publique immédiate comme levier de pression, sachant que cette approche avait conduit Microsoft à accélérer la correction des trois précédents zero-days. Cette pratique, bien que controversée dans la communauté de la sécurité (elle expose les utilisateurs avant qu'un patch soit disponible), est devenue un outil de pression face aux délais de traitement MSRC jugés excessifs par certains chercheurs indépendants.

L'analyse technique publiée par SecurityOnline le 16 juillet 2026 précise que l'exploitation nécessite une session locale active sur le système cible et un compte utilisateur standard authentifié. Ces conditions ne constituent pas une protection robuste dans les scénarios d'attaque réels : un attaquant qui a déjà obtenu une exécution de code à distance via phishing, exploitation d'une application web, ou supply chain compromise se retrouve fréquemment avec un accès utilisateur standard dans un contexte de session active. LegacyHive fournit alors l'escalade vers SYSTEM nécessaire pour la persistance, l'extraction de credentials LSASS et le mouvement latéral horizontal dans l'environnement Active Directory.

La plateforme Rescana, dans son analyse publiée le 17 juillet 2026, contextualise l'ampleur du risque : LegacyHive affecte chaque machine Windows actuellement en service — des postes de travail domestiques aux contrôleurs de domaine Active Directory. Dans un environnement d'entreprise, la chaîne d'attaque devient : compromission initiale (phishing, exploitation d'application web) puis accès utilisateur standard, puis LegacyHive LPE vers SYSTEM, puis dump de credentials LSASS, puis pass-the-hash ou Kerberoasting, puis compromission totale du domaine Active Directory. L'absence de patch et l'absence d'identifiant CVE officiel — qui déclencherait normalement les workflows automatisés de déploiement de correctifs — signifient que les équipes de défense n'ont aucune voie de remédiation supportée par le vendor à ce jour.

Impact et exposition

LegacyHive affecte la totalité du parc Windows actuellement supporté et patché : Windows 10 (toutes builds supportées), Windows 11 (toutes builds), Windows Server 2016, 2019 et 2022 — y compris les systèmes ayant appliqué l'intégralité du Patch Tuesday de juillet 2026. Il n'existe aucun correctif disponible au 18 juillet 2026. L'exposition est universelle pour tout environnement Windows, avec un risque élevé dans les contextes où un attaquant possède déjà un accès utilisateur standard sur un système ou dans le réseau.

Les conditions d'exploitation requièrent un accès local avec un compte utilisateur standard et une session active — conditions fréquemment réunies dans les scénarios post-compromission initiale (phishing réussi, exploitation d'une application, mouvement latéral depuis un autre système). La criticité de LegacyHive réside dans son rôle de maillon dans une kill chain plus longue : seul il ne permet pas d'entrer dans un système, mais combiné à une compromission initiale il permet l'escalade complète vers SYSTEM et la prise de contrôle totale du système, puis potentiellement du domaine Active Directory.

Les environnements les plus à risque sont les domaines Active Directory avec une posture de sécurité insuffisante sur la segmentation des privilèges — notamment les environnements où les utilisateurs standard ont accès direct à des serveurs critiques, où les comptes de service partagent des mots de passe entre systèmes, ou où les politiques Group Policy ne restreignent pas suffisamment les mécanismes de chargement de profils. Les PME et les environnements non managés sans EDR déployé sont plus exposés que les grandes entreprises disposant de capacités de détection comportementale avancées.

L'historique des trois précédents zero-days du même chercheur (BlueHammer, RedSun, UnDefend) est instructif : tous ont été exploités dans la nature dans les semaines suivant leur publication publique, avant même la disponibilité d'un patch Microsoft. La probabilité qu'un acteur malveillant weaponise LegacyHive dans les prochaines semaines est élevée. Les groupes cybercriminels qui maintiennent des frameworks de post-exploitation (Cobalt Strike, Sliver, Metasploit) intégreront vraisemblablement un module LegacyHive dans leurs arsenaux prochainement.

Recommandations immédiates

  • Déployer ou mettre à jour les solutions EDR (Microsoft Defender for Endpoint, CrowdStrike, SentinelOne) et activer les règles de détection spécifiques aux comportements anormaux du service profsvc — notamment la règle publiée par ThreatLocker le 17 juillet 2026
  • Activer Windows Defender Credential Guard sur tous les systèmes Windows 11 Entreprise et Windows Server 2019+ (protection partielle des secrets LSA)
  • Appliquer le principe du moindre privilège : auditer et restreindre les comptes utilisateurs standards ayant accès local ou RDP à des serveurs sensibles ou des contrôleurs de domaine
  • Surveiller les événements de chargement de ruches de registre inhabituels dans les journaux Windows (Event ID 4688, journaux Sysmon Event ID 12/13 pour les modifications de clés de registre sous HKCU)
  • Restreindre les accès locaux aux serveurs critiques : seuls les comptes administrateurs légitimes devraient pouvoir ouvrir des sessions locales ou RDP directes sur les DCs et serveurs sensibles
  • Surveiller les bulletins de sécurité Microsoft pour la publication d'un patch out-of-band — en cas d'exploitation active confirmée, Microsoft pourrait publier un correctif d'urgence hors cycle Patch Tuesday
  • Indicateurs de compromission : surveiller les processus initiés par profsvc (parent svchost.exe -k netsvcs) chargeant des fichiers de ruche hors du répertoire de profil standard

⚠️ Zero-Day actif — aucun patch disponible

LegacyHive est un zero-day Windows sans correctif disponible au 18 juillet 2026. Un PoC est publiquement accessible sur GitHub. Les trois précédents zero-days du même chercheur ont été weaponisés dans les semaines suivant leur divulgation. Déployez immédiatement les détections EDR et appliquez les contrôles de mitigation en attendant un correctif Microsoft.

Comment savoir si je suis vulnérable ?

Tout système Windows 10, Windows 11 ou Windows Server 2016/2019/2022 est vulnérable, y compris entièrement patché avec les mises à jour de juillet 2026. Il n'existe pas de version corrigée à ce jour. Pour évaluer votre exposition pratique, vérifiez si des utilisateurs à faibles privilèges ont accès local ou RDP à des serveurs critiques. Exécutez la commande PowerShell Get-LocalGroupMember -Group "Remote Desktop Users" sur vos serveurs pour identifier les comptes non-admin ayant accès RDP direct.

Votre environnement Windows est-il sécurisé ?

Ayi NEDJIMI réalise des audits Active Directory et Windows pour évaluer votre exposition aux escalades de privilèges.

Demander un audit