Skip to content
[ root@retasan:~# Saturday, Jul 18, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Cyberwarfare Tools Data Breach Video Iklan Catatan Pribadi
Exploit Development

LegacyHive: Windows Zero-Day Memungkinkan Penyerang Membajak Registry Hive Administrator

// by retasan-news July 18, 2026 6 min read
Ilustrasi kerentanan zero-day LegacyHive Windows yang membajak registry hive

Sebuah kerentanan local privilege escalation (LPE) zero-day baru di Windows, yang dinamakan LegacyHive, memungkinkan pengguna standar memuat dan memodifikasi registry hive kelas dari akun administrator. PoC (Proof of Concept) yang dipublikasikan oleh peneliti NightmareEclipse di repository GitHub MSNightmare/LegacyHive menyalahgunakan User Profile Service Windows untuk mem-mount UsrClass.dat hive target ke lokasi registry yang dapat diakses dari akun privilege rendah.

APA YANG TERJADI?

Kerentanan ini mempengaruhi instalasi Windows desktop dan Windows Server yang masih didukung, termasuk sistem yang sudah di-update dengan patch keamanan Juli 2026 dari Microsoft. Pada saat disclosure, repository tersebut tidak mengidentifikasi CVE, advisory Microsoft, atau fix yang dikeluarkan vendor. PoC ditulis dalam C++ dan dirilis di bawah lisensi MIT, namun penulisnya mengatakan kode yang tersedia secara publik sengaja dibatasi untuk mengurangi penyalahgunaan langsung.

LegacyHive membutuhkan eksekusi lokal dan akses ke kredensial pengguna Windows standar kedua, serta username akun target yang mungkin administrator. Ketika berhasil, tool ini menyebabkan hive classes registry akun target di-mount di bawah classes root pengguna saat ini. Peneliti keamanan independen Will Dormann mengonfirmasi perilaku inti — Dormann mengamati key registry baru muncul di bawah HKEY_USERS saat LegacyHive berjalan dan kemudian menentukan bahwa pengguna non-administratif dapat mengakses hive Classes milik administrator yang di-mount.

Dalam demonstrasi dasar, Dormann menggunakan flaw ini untuk mengubah asosiasi file .txt milik pengguna administrator sehingga file teks dibuka di Calculator alih-alih aplikasi yang diharapkan. Meskipun tidak berbahaya secara terisolasi, contoh ini mengilustrasikan bahwa penyerang dapat mengutak-atik pengaturan yang biasanya dilindungi oleh hak akses akun target. Penyalahgunaan yang lebih berbahaya bisa melibatkan modifikasi registrasi COM object yang dipanggil saat login administrator, berpotensi mengaktifkan code execution dalam security context pengguna tersebut.

DETAIL TEKNIS

Proses Monitor mengindikasikan bahwa flaw ini berasal dari penanganan privilege di User Profile Service (ProfSvc). Service ini awalnya mencoba membuka UsrClass.dat milik administrator target dengan melakukan impersonation terhadap pengguna standar yang diberikan dan menerima error access-denied. Service ini kemudian mencoba ulang operasi di bawah NT AUTHORITY\SYSTEM, berhasil membuka file yang dilindungi, dan mengekspos hive yang dimuat dengan cara yang tetap dapat diakses oleh pemanggil non-admin.

Modifikasi registrasi dari akun privileged dapat mengubah cara aplikasi, file, dan komponen COM berperilaku ketika akun tersebut login atau berinteraksi dengan desktop. Potensi penyalahgunaan mencakup: mengubah file associations untuk menjalankan program berbahaya, memodifikasi COM registrations untuk menjalankan kode saat login administrator, dan memanipulasi shell settings untuk mengaktifkan persistence mechanism. Ini menciptakan primitive keamanan yang signifikan — pergeseran dari foothold lokal biasa ke kontrol atas session administratif.

DAMPAK TERHADAP INDONESIA

LegacyHive berdampak serius terhadap infrastruktur IT Indonesia karena mayoritas organisasi — dari pemerintah hingga swasta — menjalankan Windows sebagai sistem operasi utama. Shared endpoints seperti terminal server, jump hosts, dan workstation bersama di kantor adalah target utama di mana beberapa user (termasuk administrator) login secara interaktif. Dalam lingkungan seperti ini, satu kompromi kredensial user standar dapat berujung pada eskalasi ke administrator tanpa memerlukan exploit tambahan.

Di bawah UU Pelindungan Data Pribadi (PDP Law), organisasi Indonesia memiliki kewajiban untuk melindungi data dari akses tidak sah. Jika LegacyHive dieksploitasi untuk membajak session administrator, seluruh sistem keamanan berbasis privilege dapat dilanggar. Data yang dilindungi oleh hak akses administrator — termasuk database sensitif, konfigurasi keamanan, dan credential vaults — menjadi rentan. BSSN perlu menerbitkan advisory segera mengingat belum adanya CVE atau patch resmi dari Microsoft.

Yang mengkhawatirkan adalah kecepatan eksploitasi yang dimungkinkan oleh PoC publik. Meskipun kode dibatasi, attacker yang terampil dapat memperluas fungsionalitas. Bagi organisasi Indonesia yang menjalankan Windows Server di data center untuk layanan publik dan internal, risiko eskalasi privilege melalui jalur ini sangat nyata, terutama di lingkungan di mana principle of least privilege tidak diterapkan secara ketat.

REKOMENDASI MITIGASI

Hingga Microsoft memberikan panduan atau patch, langkah-langkah berikut harus segera diimplementasikan: (1) Batasi akses lokal — cegah pengguna standar memperoleh kredensial untuk akun lokal lainnya. (2) Monitor aktivitas ProfSvc yang mencurigakan dan mount hive yang tidak diharapkan di bawah HKEY_USERS. (3) Investigasi modifikasi pada registrasi COM dan file associations untuk akun privileged. (4) Terapkan AppLocker atau Windows Defender Application Control (WDAC) untuk membatasi eksekusi binary yang tidak sah.

Untuk lingkungan server, pertimbangkan untuk membatasi interactive logon administrator secara langsung — gunakan jump hosts yang terisolasi dan implementasikan Privileged Access Management (PAM) untuk session administrator. Aktifkan Windows Event Audit untuk logon events (4624, 4672) dan registry modifications. Konfigurasi SIEM untuk alert pada anomali pada ProfSvc, termasuk percobaan impersonation yang berulang atau mount hive yang tidak biasa.

Pastikan backup registry dilakukan secara berkala untuk memungkinkan pemulihan jika komponen registry dikompromikan. Implementasikan network segmentation untuk membatasi akses lateral dari workstation ke server. Yang terpenting, latih tim SOC untuk mengenali TTP yang berkaitan dengan privilege escalation melalui User Profile Service, karena teknik ini belum umum dan mungkin tidak terdeteksi oleh EDR default.

Analisa Retasan

LegacyHive mengekspos paradox keamanan fundamental dalam arsitektur Windows: User Profile Service (ProfSvc) yang dirancang untuk mengelola profil pengguna secara efisien justru menjadi vector privilege escalation. Mekanisme intinya sangat elegan — service mencoba membuka file sebagai user standar, gagal, lalu retry sebagai SYSTEM. Retry ini bukan bug dalam arti klasik, melainkan desain behavior yang mengasumsikan bahwa jika impersonation gagal, service harus fallback ke sistem. Namun, hasil dari SYSTEM-level open ini kemudian diekspos kembali ke caller non-admin, menciptakan privilege confusion. Pola ini mengingatkan pada CVE-2021-34527 (PrintNightare) di mana User Mode Paper Port dan spooler service memiliki privilege handling yang salah, atau CVE-2022-21882 (Win32k EoP) di mana kernel tidak memverifikasi privilege caller secara memadai. Dalam semua kasus ini, root cause-nya adalah asumsi bahwa service system-level dapat dipercaya untuk melakukan operasi atas nama pengguna tanpa verifikasi privilege yang memadai pada hasilnya.

Dari perspektif pertahanan, LegacyHive sangat berbahaya karena berada di sweet spot antara kemudahan eksploitasi dan dampak. Tidak membutuhkan kernel exploit, tidak membutuhkan memory corruption — hanya membutuhkan akun user standar yang valid dan akses lokal. Dalam lingkungan enterprise Indonesia di mana shared workstation dan multi-user systems adalah hal biasa, ini adalah primitive yang sangat berharga bagi attacker. Kombinasikan dengan fakta bahwa PoC sudah tersedia di GitHub (meskipun dibatasi), dan kita berhadapan dengan race condition antara patch vendor dan exploit adoption. Microsoft belum mengeluarkan CVE atau advisory, yang berarti scanner keamanan dan EDR rules tidak akan mendeteksi exploitation teknik ini. Organisasi harus mengandalkan behavioral detection — memantau aktivitas ProfSvc yang tidak biasa, mount hive yang mencurigakan, dan perubahan registrasi yang tidak diharapkan pada akun privileged.

Konteks Indonesia menambah urgensi: banyak instansi pemerintah dan BUMN masih menjalankan Windows Server di lingkungan dengan administrasi terbatas. Jika administrator menggunakan interactive logon langsung di workstation yang sama dengan user standar (praktik yang masih umum), maka LegacyHive memberikan jalur eskalasi yang sangat mudah. UU PDP mensyaratkan perlindungan data pribadi yang memadai, namun tanpa patch vendor dan tanpa CVE untuk di-track, pertahanan harus berbasis behavior monitoring dan hardening konfigurasi. BSSN dan tim SOC nasional perlu segera memahami teknik ini dan menambahkannya ke playbooks deteksi mereka, karena tidak ada solusi patch instan yang tersedia.

🔗 Sumber: GBHackers — LegacyHive Windows Zero-Day Lets Attackers Hijack Administrator Registry Hives

Tags: CVE LegacyHive Local Privilege Escalation LPE Privilege Escalation ProfSvc Registry User Profile Service Windows Zero-Day
Share:

retasan-news

← Previous Spies, Malware, dan Blackout: Uni Eropa Salahkan Unit Rahasia FSB atas Dekade Sabotase Siber
Next → Hackers Sembunyikan Lua Loaders di File TTF Palsu untuk Deploy Remcos, XWorm, dan Agent Tesla

Artikel Terkait

Shadow Token via Remote Debug: Teknik Baru Hijack Email via OAuth Tanpa Mencuri Password

Shadow Token via Remote Debug: Teknik Baru Hijack Email via OAuth Tanpa Mencuri Password

July 18, 2026
wp2shell: Kerentanan Inti WordPress Memungkinkan Penyerang Tak Terotentikasi Menjalankan Kode

wp2shell: Kerentanan Inti WordPress Memungkinkan Penyerang Tak Terotentikasi Menjalankan Kode

July 18, 2026
GoSerpent: Ancaman Persisten Evolusi dengan Kemampuan Pengumpulan dan Ekfiltrasi Data Canggih

GoSerpent: Ancaman Persisten Evolusi dengan Kemampuan Pengumpulan dan Ekfiltrasi Data Canggih

July 18, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.