Voltar ao início do blog

LegacyHive no Microsoft Windows deixa usuario alterar hive de admin

Vulnerabilidade

LegacyHive no Microsoft Windows expõe hives administrativos

Falha local permite alterar configurações de contas privilegiadas no Microsoft Windows. O caso foi divulgado com prova de conceito pública.

LegacyHive no Microsoft Windows deixa usuario alterar hive de admin

Resumo rápido

LegacyHive é uma falha local de elevação de privilégio no Microsoft Windows. Ela pode permitir que um usuário comum carregue e altere o hive de registro UsrClass.dat de uma conta administradora. Na divulgação analisada, havia prova de conceito pública, mas não havia CVE ou correção oficial citada.

Pontos que você encontra aqui:

  • O que é a falha LegacyHive no Microsoft Windows.
  • Por que o hive UsrClass.dat importa para a segurança.
  • Quais condições o ataque precisa para funcionar.
  • Que sinais podem indicar abuso ou teste indevido.
  • Quais ações reduzem o risco enquanto não há correção oficial citada.

LegacyHive permite mexer em perfis administrativos

LegacyHive é o nome dado a uma vulnerabilidade local no Microsoft Windows que pode permitir a um usuário sem privilégios acessar e modificar partes do registro de outra conta. O impacto fica mais sensível quando a conta alvo é administradora, já que preferências e componentes ligados ao perfil privilegiado podem ser alterados.

O caso foi publicado pelo pesquisador NightmareEclipse no repositório MSNightmare/LegacyHive. Segundo o material analisado, a falha afeta instalações suportadas do Microsoft Windows para desktop e do Microsoft Windows Server, incluindo sistemas com os patches de segurança de julho de 2026.

O ataque passa pelo arquivo UsrClass.dat

A prova de conceito abusa do Serviço de Perfil de Usuário do Microsoft Windows para montar o arquivo UsrClass.dat de uma conta alvo em uma área do registro acessível por outra conta. Esse arquivo guarda configurações por usuário, como associações de arquivos, registros COM, ajustes do shell e preferências relacionadas.

A versão pública da ferramenta foi escrita em C++ e, conforme o autor, recebeu limitações para reduzir abuso imediato. Para funcionar, ela exige execução local, credenciais de um segundo usuário padrão do Microsoft Windows e o nome da conta alvo.

Mudanças no registro podem denunciar o abuso

Como a técnica exige presença local e manipulação do registro, a investigação deve priorizar alterações fora do padrão em perfis privilegiados. Em testes citados na fonte, Will Dormann confirmou novas chaves em HKEY_USERS durante a execução da ferramenta e acesso ao hive Classes de um administrador por um usuário não administrador.

  • novas chaves surgindo em HKEY_USERS durante sessões de usuários comuns;
  • alterações incomuns em associações de arquivos de contas administradoras;
  • mudanças em registros COM ou configurações do shell de usuários privilegiados;
  • uso de ferramentas não autorizadas compiladas em C++ em estações Microsoft Windows;
  • comportamento estranho ao abrir arquivos, como .txt sendo aberto na Calculadora.

Contas administrativas devem ficar fora da rotina

Enquanto não há correção oficial citada na fonte, a prioridade é reduzir as condições necessárias para exploração. Empresas devem revisar contas locais, impedir compartilhamento de credenciais e limitar logons interativos em equipamentos sensíveis.

  • Não use contas administradoras para tarefas do dia a dia.
  • Remova contas padrão desnecessárias em estações e servidores.
  • Monitore alterações no registro ligadas a perfis de administradores.
  • Investigue qualquer alteração inesperada em associações de arquivos.
  • Mantenha o Microsoft Windows atualizado e acompanhe comunicados da Microsoft.

Checklist para reduzir exposição ao LegacyHive

  1. Liste contas locais e remova usuários que não precisam existir no equipamento.
  2. Separe contas administrativas de contas de uso diário e reduza logons privilegiados.
  3. Crie alertas para mudanças incomuns em HKEY_USERS, UsrClass.dat, associações de arquivos e registros COM.
  4. Bloqueie execução de ferramentas não autorizadas e investigue binários desconhecidos.
  5. Acompanhe eventual comunicado da Microsoft sobre CVE, mitigação ou correção.

Perguntas frequentes sobre LegacyHive

LegacyHive permite ataque remoto?

Pelo texto analisado, não. A falha exige execução local no Microsoft Windows e condições específicas, como credenciais de um segundo usuário padrão e o nome da conta alvo.

Existe correção oficial?

Na divulgação citada, não havia CVE, advisory da Microsoft ou correção do fornecedor indicada no repositório. A recomendação é acompanhar canais oficiais da Microsoft e manter o processo de gestão de vulnerabilidades ativo.

Qual é o risco prático?

O risco está em alterar configurações protegidas de uma conta administradora. Isso pode mudar como arquivos, aplicativos e componentes são acionados quando a conta privilegiada usa o Microsoft Windows.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua empresa a identificar riscos em ambientes Microsoft Windows, revisar privilégios locais e monitorar alterações críticas. Nosso time também apoia a resposta a vulnerabilidades antes que elas virem incidentes.

Conheça as soluções da LC SEC: Pentest, Threat Intelligence com IA, Conscientização de Segurança, SGSI, Plano Diretor de Segurança, Auditoria Interna, Governança de MFA e Cofre TOTP, ISO 42001 - IA, Diagnóstico Gratuito de Segurança. Acesse lcsec.io para falar com um especialista.

Fontes:
https://gbhackers.com/legacyhive-windows-zero-day/. Consulte a fonte original para detalhes técnicos e atualizações sobre a divulgação.

Compartilhe nas redes sociais:

Conteúdos relacionados

Alertas de cibersegurança direto no Telegram

Vazamentos, vulnerabilidades críticas e tendências — curadoria diária pela nossa equipe de threat intel. Entre no canal oficial e fique à frente das ameaças.

Entrar no canal