Skip to content
[ root@retasan:~# Saturday, Jul 18, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Cyberwarfare Tools Data Breach Video Iklan Catatan Pribadi
Exploit Development

Nightmare Eclipse Rilis LegacyHive: Windows Zero-Day LPE Baru yang Target User Profile Service

// by retasan-news July 16, 2026 5 min read
Digital threat representing zero-day vulnerability exploit

Nightmare Eclipse, security researcher yang dikenal konsisten merilis zero-day exploit produk Microsoft, kembali merilis kerentanan baru bernama LegacyHive — sebuah local privilege escalation (LPE) zero-day di Windows User Profile Service yang berfungsi pada sistem dengan patch Juli 2026 terbaru sekalipun. Berbeda dari rilisan sebelumnya, Nightmare Eclipse sengaja melakukan stripping pada proof-of-concept (PoC) exploit untuk mencegah eksploitasi langsung oleh pelaku ancaman.

APA YANG TERJADI?

LegacyHive adalah kerentanan LPE yang menargetkan Windows User Profile Service — komponen inti Windows yang bertanggung jawab untuk memuat dan mengelola profil pengguna. Kerentanan ini memungkinkan penyerang untuk memuat hives (file registry profil pengguna) milik pengguna lain, termasuk milik administrator. Dengan memanfaatkan LegacyHive, penyerang yang memiliki akses ke satu akun standar dapat memuat hive milik akun administrator ke dalam registri kelas pengguna saat ini — membuka jalan untuk eskalasi hak akses penuh ke sistem.

PoC yang dirilis memerlukan kredensial pengguna standar lain dan username ketiga (yang bisa berupa akun administrator). Jika eksploitasi berhasil, target user hive akan di-mount di current user classes root. Nightmare Eclipse — juga dikenal sebagai Chaotic Eclipse — mengungkapkan bahwa versi exploit aslinya tidak memerlukan kredensial pengguna sama sekali dan mengizinkan loading hives apa saja, bukan hanya usrclass.dat. Kemampuan tersebut masih bisa diaktifkan, namun memerlukan modifikasi tambahan pada kode exploit.

DETAIL TEKNIS

LegacyHive bekerja dengan memanfaatkan cara Windows User Profile Service memuat registry hives melalui mekanisme user class. Dengan mengirimkan request yang terkonstruksi secara spesifik, penyerang dapat memaksa service memuat hives milik pengguna lain — termasuk administrator — ke dalam konteks registri pengguna saat ini. Setelah hive administrator ter-mount, penyerang dapat memodifikasi konfigurasi dan kredensial yang tersimpan di dalamnya, termasuk hash NTLM, informasi autentikasi, dan hak akses yang diberikan.

Yang membuat LegacyHive signifikan adalah kemampuannya berfungsi pada sistem yang sudah diperbarui dengan patch Juli 2026 — artinya ini adalah zero-day yang berlaku meskipun Microsoft telah merilis patch terbaru untuk patch cycle yang sama. Nightmare Eclipse sebelumnya telah merilis lebih dari setengah lusin zero-day di produk Microsoft, termasuk BlueHammer, RedSun, dan UnDefend yang semuanya telah dieksploitasi dalam serangan nyata. GreenPlasma, RoguePlanet, YellowKey, dan GreatXML juga merupakan bagian dari seri rilisan sebelumnya. Microsoft hingga saat ini belum mengakui keberadaan kerentanan LegacyHive.

DAMPAK TERHADAP INDONESIA

Windows masih menjadi dominan di lingkungan perkantoran dan pemerintahan Indonesia. Hampir seluruh instansi pemerintah, BUMN, dan sektor perbankan menggunakan Windows sebagai OS utama di workstation dan server mereka. Zero-day LPE seperti LegacyHive sangat berbahaya dalam konteks Indonesia karena banyak organisasi yang mengandalkan User Account Control (UAC) sebagai garis pertahanan terakhir untuk mencegah eskalasi hak akses — padahal UAC sendiri dapat di-bypass oleh teknik seperti yang ditunjukkan LegacyHive.

BSSN telah beberapa kali melaporkan serangan yang menggunakan eskalasi hak akses sebagai bagian dari rantai serangan terhadap infrastruktur pemerintah Indonesia. Dengan kemampuan LegacyHive untuk memuat hives administrator tanpa memerlukan kredensial asli (pada versi exploit yang belum di-strip), teknik ini sangat relevan dengan skenario serangan di mana penyerang sudah berhasil mendapatkan akses awal ke satu workstation — misalnya melalui phishing atau exploit vulnerability lain. SKKNI Siber mensyaratkan bahwa organisasi harus menerapkan principle of least privilege, namun zero-day seperti LegacyHive membuktikan bahwa batasan hak akses dapat dibypass bahkan oleh pengguna standar.

REKOMENDASI MITIGASI

Mengingat Microsoft belum merilis patch untuk LegacyHive, berikut langkah mitigasi sementara: pertama, implementasikan Application Whitelisting untuk membatasi eksekusi binary yang tidak dikenal di workstation. Kedua, monitor event log Windows untuk aktivitas mencurigakan pada User Profile Service — khususnya event terkait loading registry hives dari sumber yang tidak biasa. Ketiga, terapkan Credential Guard untuk melindungi NTLM hash dan kredensial lain dari pencurian melalui teknik dumping hives. Keempat, minimalkan jumlah akun standar yang memiliki akses ke sistem yang sama — segmentasi hak akses dapat membatasi dampak eskalasi. Kelima, pertahankan vigilance terhadap serangan phishing yang dapat memberikan akses awal kepada penyerang — LegacyHive memerlukan foothold awal untuk dapat dieksploitasi.

Analisa Retasan

Seri zero-day dari Nightmare Eclipse — kini mencapai lebih dari tujuh rilisan — merupakan pola yang belum pernah terjadi sebelumnya dalam sejarah vulnerability disclosure. BlueHammer, RedSun, dan UnDefend semuanya telah dieksploitasi dalam serangan nyata, yang berarti setiap rilisan Nightmare Eclipse harus diperlakukan sebagai ancaman aktif meskipun belum ada bukti eksploitasi in-the-wild. LegacyHive, dengan target yang sangat spesifik pada User Profile Service, menunjukkan kedalaman pemahaman researcher ini terhadap arsitektur internals Windows — bukan sekadar menemukan race condition atau buffer overflow, melainkan memanfaatkan logika bisnis dari komponen OS untuk melakukan hal yang tidak diantisipasi oleh desainer sistem.

Mekanisme LegacyHive sangat menarik dari sudut pandang teknis. User Profile Service bertanggung jawab untuk memuat registry hives saat user login — ini adalah operasi yang dilakukan ratusan kali sehari di setiap Windows machine. Dengan memanfaatkan cara service ini memverifikasi dan memproses request loading hive, penyerang dapat mengeksekusi operasi yang secara normal hanya bisa dilakukan oleh SYSTEM. Ini mirip dengan teknik yang digunakan dalam CVE-2024-21345 (Windows Kernel EoP) di mana manipulasi terhadap service account memory mapping memungkinkan eskalasi hak akses — namun LegacyHive beroperasi di tingkat yang lebih tinggi dan lebih mudah dimanfaatkan.

Dari perspektif keamanan siber Indonesia, rilisan Nightmare Eclipse ini menyoroti kerentanan fundamental dalam dependensi organisasi terhadap model keamanan berbasis patch. Ketika zero-day dapat berfungsi pada sistem yang sudah di-patch untuk patch cycle yang sama, maka seluruh asumsi “sistem sudah aman karena sudah update” menjadi tidak valid. BSSN dan SOCSIRT nasional perlu mengembangkan kemampuan threat hunting proaktif yang tidak hanya bergantung pada patch status, melainkan juga melakukan monitoring terhadap anomali behavioral — seperti aktivitas loading registry hive yang tidak wajar dari user standar. Purple team exercise di organisasi Indonesia harus mencakup skenario eskalasi hak akses menggunakan teknik serupa, untuk memastikan bahwa EDR dan monitoring infrastructure mereka mampu mendeteksi anomali semacam ini meskipun tidak ada signature yang tersedia untuk zero-day tersebut.

Sumber: SecurityWeek — Nightmare Eclipse Drops ‘LegacyHive’ Windows Zero-Day

Tags: LegacyHive LPE Nightmare Eclipse Privilege Escalation Windows Zero-Day
Share:

retasan-news

← Previous CVE-2026-53366: Kerentanan Memory Corruption di IPv4 Stack Linux Kernel akibat Fraggap yang Tidak Diakomodasi
Next → Serangan Siber Partnered Health Ungkap Data Pasien di Seluruh Australia

Artikel Terkait

CVE-2026-48909: PHP Object Injection pada SP LMS Joomla Berhasil Capai RCE Tanpa Autentikasi

CVE-2026-48909: PHP Object Injection pada SP LMS Joomla Berhasil Capai RCE Tanpa Autentikasi

July 17, 2026
LACUNA Chain: Ghost Frames Berhasil Kalahkan Setiap Lapisan Deteksi EDR Call-Stack

LACUNA Chain: Ghost Frames Berhasil Kalahkan Setiap Lapisan Deteksi EDR Call-Stack

July 17, 2026
Windows ARM64 Internals: Memahami Interrupt Handling pada Arsitektur ARM

Windows ARM64 Internals: Memahami Interrupt Handling pada Arsitektur ARM

July 17, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.