Ett nytt Windows-hål publicerades bara timmar efter julis rekordstora patchdag – och Microsoft har ännu ingen fix.
Sårbarheten kallas LegacyHive och släpptes offentligt den 15 juli 2026 av säkerhetsforskaren som går under namnet Nightmare Eclipse. Den fungerar på alla stödda versioner av Windows 10, Windows 11 och Windows Server, även på system som redan har installerat julipatchen.
Koden dök upp på Github samma dygn som Microsoft rullade ut sin största samlade uppdatering någonsin. Julis Patch Tuesday innehöll 621 rättningar – ett rekord på en enskild månad. LegacyHive fanns inte med bland dem.
Vad hackaren faktiskt kan göra
LegacyHive är en så kallad lokal privilegieeskalering. Den låter en vanlig användare på datorn ladda in andra användares registerprofiler, inklusive administratörens. I praktiken betyder det att en angripare som redan har fått fotfäste på maskinen kan läsa data som normalt är skyddad.
Sårbarheten sitter i tjänsten Windows User Profile Service (profsvc), som hanterar användarprofiler. Genom att missbruka hur tjänsten laddar så kallade hives – byggblocken i Windows-registret – kan angriparen montera exempelvis administratörens `UsrClass.dat` in i sitt eget område. Där ligger applikationsdata, historik från Utforskaren och andra digitala spår.
Säkerhetsforskaren Matei Badanoiu beskriver mekanismen så här enligt The Register:
”LegacyHive är en lokal privilegieeskalering i Windows User Profile Service. Den missbrukar godtycklig laddning av registerhives, så en vanlig användare kan montera en annan användares hive, inklusive en administratörs, in i sin egen classes root.”
Publicerad med avsikt strax efter patchdagen
Nightmare Eclipse har tidigare släppt en rad Windows-hål och har byggt sig ett rykte om att gå ut hårt mot Microsoft. Den här gången valde forskaren att publicera en avskalad version av exploatkoden. Enligt SecurityWeek kräver den publika versionen tillgång till ytterligare ett användarkonto för att fungera – något originalexploatet inte behövde.
Den ursprungliga varianten kunde ladda vilken hive som helst utan extra inloggningsuppgifter. Att den avskalade versionen ändå är farlig är säkerhetsbranschen ense om. Dray Agha från Huntress varnar enligt The Register för att kapabla aktörer snabbt kommer att bygga färdigvapnade versioner:
”Hotinformationsteam bör agera med viss brådska här. Kapabla aktörer kommer att baklängeskonstruera de saknade delarna av LegacyHive-koden och bygga fullt beväpnade versioner på kort tid.”
Microsoft undersöker – ingen fix ännu
Något CVE-nummer har ännu inte tilldelats sårbarheten. Microsoft har bekräftat att företaget känner till rapporten men har inte gett något besked om när en rättning kan väntas. I ett skriftligt uttalande skriver bolaget:
”Microsoft är medvetet om den rapporterade sårbarheten och undersöker aktivt giltigheten och den potentiella tillämpligheten i dessa påståenden. Microsoft är engagerat i att undersöka säkerhetsproblem och uppdatera drabbade produkter för att skydda kunder så snart som möjligt.”
Så minskar du risken tills patchen kommer
Eftersom LegacyHive kräver att angriparen redan har lokal åtkomst till datorn är hemanvändare mindre exponerade än delade system på arbetsplatser, skolor och företag. Trots det bör alla vara uppmärksamma på grundläggande hygien: kör inte som administratör i vardagen, installera bara program från betrodda källor och håll antivirusskyddet aktivt.
För it-administratörer rekommenderar säkerhetsleverantören ThreatLocker att övervaka misstänkt aktivitet runt registerhives, exempelvis att vanliga användare skriver till andra kontons hive-filer eller att hive-filer plötsligt hamnar i mappar som `C:\`, `%TEMP%` eller `%ProgramData%`. Windows-händelserna 4648, 4624, 4688, 4663 och 4657 kan användas för att upptäcka pågående försök.
Nightmare Eclipse har själv kommenterat den avskalade koden torrt: användaren ”skulle behöva några hjärnceller för att få den att göra det”, enligt The Register. Säkerhetsforskare tolkar det som en fingervisning om att en fullt fungerande variant är inom räckhåll för den som vill.