LegacyHive no Microsoft Windows expõe hives administrativos
Falha local permite alterar configurações de contas privilegiadas no Microsoft Windows. O caso foi divulgado com prova de conceito pública.

Resumo rápido
LegacyHive é uma falha local de elevação de privilégio no Microsoft Windows. Ela pode permitir que um usuário comum carregue e altere o hive de registro UsrClass.dat de uma conta administradora. Na divulgação analisada, havia prova de conceito pública, mas não havia CVE ou correção oficial citada.
Pontos que você encontra aqui:
- O que é a falha LegacyHive no Microsoft Windows.
- Por que o hive UsrClass.dat importa para a segurança.
- Quais condições o ataque precisa para funcionar.
- Que sinais podem indicar abuso ou teste indevido.
- Quais ações reduzem o risco enquanto não há correção oficial citada.
LegacyHive permite mexer em perfis administrativos
LegacyHive é o nome dado a uma vulnerabilidade local no Microsoft Windows que pode permitir a um usuário sem privilégios acessar e modificar partes do registro de outra conta. O impacto fica mais sensível quando a conta alvo é administradora, já que preferências e componentes ligados ao perfil privilegiado podem ser alterados.
O caso foi publicado pelo pesquisador NightmareEclipse no repositório MSNightmare/LegacyHive. Segundo o material analisado, a falha afeta instalações suportadas do Microsoft Windows para desktop e do Microsoft Windows Server, incluindo sistemas com os patches de segurança de julho de 2026.
O ataque passa pelo arquivo UsrClass.dat
A prova de conceito abusa do Serviço de Perfil de Usuário do Microsoft Windows para montar o arquivo UsrClass.dat de uma conta alvo em uma área do registro acessível por outra conta. Esse arquivo guarda configurações por usuário, como associações de arquivos, registros COM, ajustes do shell e preferências relacionadas.
A versão pública da ferramenta foi escrita em C++ e, conforme o autor, recebeu limitações para reduzir abuso imediato. Para funcionar, ela exige execução local, credenciais de um segundo usuário padrão do Microsoft Windows e o nome da conta alvo.
Mudanças no registro podem denunciar o abuso
Como a técnica exige presença local e manipulação do registro, a investigação deve priorizar alterações fora do padrão em perfis privilegiados. Em testes citados na fonte, Will Dormann confirmou novas chaves em HKEY_USERS durante a execução da ferramenta e acesso ao hive Classes de um administrador por um usuário não administrador.
- novas chaves surgindo em HKEY_USERS durante sessões de usuários comuns;
- alterações incomuns em associações de arquivos de contas administradoras;
- mudanças em registros COM ou configurações do shell de usuários privilegiados;
- uso de ferramentas não autorizadas compiladas em C++ em estações Microsoft Windows;
- comportamento estranho ao abrir arquivos, como .txt sendo aberto na Calculadora.
Contas administrativas devem ficar fora da rotina
Enquanto não há correção oficial citada na fonte, a prioridade é reduzir as condições necessárias para exploração. Empresas devem revisar contas locais, impedir compartilhamento de credenciais e limitar logons interativos em equipamentos sensíveis.
- Não use contas administradoras para tarefas do dia a dia.
- Remova contas padrão desnecessárias em estações e servidores.
- Monitore alterações no registro ligadas a perfis de administradores.
- Investigue qualquer alteração inesperada em associações de arquivos.
- Mantenha o Microsoft Windows atualizado e acompanhe comunicados da Microsoft.
Checklist para reduzir exposição ao LegacyHive
- Liste contas locais e remova usuários que não precisam existir no equipamento.
- Separe contas administrativas de contas de uso diário e reduza logons privilegiados.
- Crie alertas para mudanças incomuns em HKEY_USERS, UsrClass.dat, associações de arquivos e registros COM.
- Bloqueie execução de ferramentas não autorizadas e investigue binários desconhecidos.
- Acompanhe eventual comunicado da Microsoft sobre CVE, mitigação ou correção.
Perguntas frequentes sobre LegacyHive
LegacyHive permite ataque remoto?
Pelo texto analisado, não. A falha exige execução local no Microsoft Windows e condições específicas, como credenciais de um segundo usuário padrão e o nome da conta alvo.
Existe correção oficial?
Na divulgação citada, não havia CVE, advisory da Microsoft ou correção do fornecedor indicada no repositório. A recomendação é acompanhar canais oficiais da Microsoft e manter o processo de gestão de vulnerabilidades ativo.
Qual é o risco prático?
O risco está em alterar configurações protegidas de uma conta administradora. Isso pode mudar como arquivos, aplicativos e componentes são acionados quando a conta privilegiada usa o Microsoft Windows.
Proteja sua empresa com a LC SEC
A LC SEC ajuda sua empresa a identificar riscos em ambientes Microsoft Windows, revisar privilégios locais e monitorar alterações críticas. Nosso time também apoia a resposta a vulnerabilidades antes que elas virem incidentes.
Conheça as soluções da LC SEC: Pentest, Threat Intelligence com IA, Conscientização de Segurança, SGSI, Plano Diretor de Segurança, Auditoria Interna, Governança de MFA e Cofre TOTP, ISO 42001 - IA, Diagnóstico Gratuito de Segurança. Acesse lcsec.io para falar com um especialista.
Fontes:
https://gbhackers.com/legacyhive-windows-zero-day/. Consulte a fonte original para detalhes técnicos e atualizações sobre a divulgação.
Receba as principais notícias de cibersegurança
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendências diretamente no seu email. A curadoria da LC SEC ajuda sua equipe a acompanhar riscos relevantes com mais agilidade.

