Onderzoeker laat nieuwe Windows Zero-Day PoC-uren vallen na Microsoft-patch dinsdag

Beveiligingsonderzoeker Chaotische zonsverduistering (ook bekend als Nachtmerrie-eclips) heeft een nieuwe proof-of-concept (PoC) exploit uitgebracht genaamd LegacyHive.

Het is beschreven als een kwetsbaarheid voor willekeurige belastingverhoging van privileges in de Windows User Profile Service. De Windows User Profile Service, ook wel ProfSvc genoemd, is een kernsysteemcomponent die gebruikersaccounts en omgevingen beheert.

“De PoC vereist een andere standaard gebruikersreferentie en een derde gebruikersnaam (wat een beheerdersaccount kan zijn)”, aldus Chaotic Eclipse. “Als de PoC succesvol is, zal het uiteindelijk de doelgebruikerscomponent in de root van de huidige gebruikersklassen mounten.”

De onderzoeker zei dat de exploit was uitgekleed om publieke exploitatie te voorkomen. Voor het toevoegen van de oorspronkelijke exploit waren geen extra gebruikersgegevens vereist en was deze niet beperkt tot de “usrclass.dat”-component.

“Elke bijenkorf kan via deze kwetsbaarheid worden geladen, maar je hebt wel wat hersencellen nodig om de PoC dit te laten doen”, merkte de onderzoeker op.

Wat het opmerkelijk maakt, is dat het functioneel is op alle ondersteunde desktop- en serverversies van Windows, inclusief de versies met de nieuwste Patch Tuesday-update van juli 2026.

Chaotic Eclipse en Microsoft zijn al sinds april 2026 verwikkeld in een verhit geschil, waarbij de onderzoeker details van meerdere exploits vrijgaf voordat de Windows-maker de kans had om ze te patchen, daarbij verwijzend naar een communicatiestoring. Drie van de kwetsbaarheden in Microsoft Defender werden kort na de openbaarmaking actief misbruikt.

Eerder deze maand bracht de technologiegigant beveiligingsupdates uit voor een andere Defender-kwetsbaarheid, bekend als RoguePlanet, die door de onderzoeker werd onthuld. Het bleek echter dat de nieuw geïntroduceerde “diepgaande verdedigingsupdates” om de fout aan te pakken ervoor kunnen zorgen dat Microsoft Defender in bepaalde scenario’s 8 bytes aan gegevens lekt bij een poging een bestand te openen.

Microsoft vertelde The Hacker News dat het het nieuwe rapport onderzoekt. We hebben contact opgenomen met het bedrijf voor commentaar over LegacyHive en we zullen het verhaal bijwerken als we iets horen.

SharePoint-serverfouten in de spotlight

De ontwikkeling komt op het moment dat Microsoft patches heeft uitgebracht voor een recordaantal van 622 fouten, waaronder twee tekortkomingen in de escalatie van bevoegdheden in SharePoint Server (CVE-2026-56164, CVSS-score: 5,3) en Active Directory Federation Services (CVE-2026-56155, CVSS-score: 7,8) die zijn gemarkeerd als actief misbruikt.

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft beide kwetsbaarheden toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, die bepaalt dat de Federal Civilian Executive Branch (FCEB) agentschappen de oplossingen uiterlijk op 17 juli en 28 juli 2026 moeten toepassen.

“Na jaren van relatieve stabiliteit heeft het Patch Tuesday-proces tot nu toe in 2026 aanzienlijke turbulentie gekend”, zegt Adam Barnett, hoofdsoftware-ingenieur bij Rapid7, in een verklaring. “Naast de door AI aangedreven exponentiële groei van het rapporteren en ontdekken van kwetsbaarheden, worstelt Microsoft met de opkomst van een reeks kwetsbaarheden die op een zodanige manier worden onthuld dat ze Redmond maximaal ongemak bezorgen.”

In een afzonderlijk advies zei het bureau dat het op de hoogte is van actieve exploitatie van meerdere SharePoint Server-fouten, waaronder CVE-2026-32201, CVE-2026-45659 en CVE-2026-56164, waardoor cyberbedreigingsactoren ongeautoriseerde toegang kunnen krijgen tot gevoelige instanties.

“Deze kwetsbaarheden treffen alle ondersteunde on-premises SharePoint Server-versies (Subscription Edition, 2019 en 2016) en omvatten het opzetten van externe code-uitvoering (RCE) en post-exploitatieactiviteiten, zoals het stelen van Internet Information Services (IIS)-machinesleutels en het uitvoeren van deserialisatietechnieken, om persistentie te verkrijgen en malware te implementeren”, aldus CISA.

“De fout komt voort uit het ontbreken van authenticatie voor een kritieke functie, waardoor een aanvaller functionaliteit kan bereiken waarvoor autorisatie vereist is”, zegt Alex Vovk, CEO en medeoprichter van Action1, over CVE-2026-56164.

“Een aanvaller kan speciaal vervaardigde netwerkverzoeken sturen om toegang te krijgen tot functionaliteit waarvoor authenticatie vereist is, wat resulteert in escalatie van bevoegdheden. De kwetsbaarheid heeft vooral invloed op de systeemintegriteit door ongeoorloofde acties toe te staan ​​zonder voorafgaande authenticatie of gebruikersinteractie. Internetgerichte SharePoint-servers zijn bijzonder kwetsbaar omdat de aanval op afstand kan worden uitgevoerd zonder geldige inloggegevens.”

Het is vermeldenswaard dat de update van juli 2026 ook een andere kritieke beveiligingsfunctie van SharePoint Server omzeilt (CVE-2026-55040, CVSS-score: 9.1) die een externe, niet-geverifieerde aanvaller zou kunnen misbruiken om de authenticatie op een kwetsbare SharePoint-server te omzeilen en bewerkingen uit te voeren als gebruiker of beheerder van een SharePoint-site.

“De kwetsbaarheid is te wijten aan verschillende problemen in de JWT-tokenvalidatiepijplijn”, aldus Rapid7. “Een aanvaller die met succes misbruik maakt van CVE-2026-55040 kan bewerkingen uitvoeren tegen de SharePoint-doelsite als de gebruiker die hij identificeert. Bovendien kan deze authenticatieomzeiling worden gekoppeld aan extra kwetsbaarheden binnen het geverifieerde aanvalsoppervlak van de doelsite.”

Thijs Van der Does