Blog

LegacyHive no Microsoft Windows deixa usuario alterar hive de admin

Escrito por Luiz Claudio | 17/07/2026 16:01:00
Vulnerabilidade

LegacyHive no Microsoft Windows expõe hives administrativos

Falha local permite alterar configurações de contas privilegiadas no Microsoft Windows. O caso foi divulgado com prova de conceito pública.

Navegação

LegacyHive no Microsoft Windows Abuso do UsrClass.dat Sinais para monitorar Redução de risco Checklist de ação

Resumo rápido

LegacyHive é uma falha local de elevação de privilégio no Microsoft Windows. Ela pode permitir que um usuário comum carregue e altere o hive de registro UsrClass.dat de uma conta administradora. Na divulgação analisada, havia prova de conceito pública, mas não havia CVE ou correção oficial citada.

Pontos que você encontra aqui:

  • O que é a falha LegacyHive no Microsoft Windows.
  • Por que o hive UsrClass.dat importa para a segurança.
  • Quais condições o ataque precisa para funcionar.
  • Que sinais podem indicar abuso ou teste indevido.
  • Quais ações reduzem o risco enquanto não há correção oficial citada.

LegacyHive permite mexer em perfis administrativos

LegacyHive é o nome dado a uma vulnerabilidade local no Microsoft Windows que pode permitir a um usuário sem privilégios acessar e modificar partes do registro de outra conta. O impacto fica mais sensível quando a conta alvo é administradora, já que preferências e componentes ligados ao perfil privilegiado podem ser alterados.

O caso foi publicado pelo pesquisador NightmareEclipse no repositório MSNightmare/LegacyHive. Segundo o material analisado, a falha afeta instalações suportadas do Microsoft Windows para desktop e do Microsoft Windows Server, incluindo sistemas com os patches de segurança de julho de 2026.

O ataque passa pelo arquivo UsrClass.dat

A prova de conceito abusa do Serviço de Perfil de Usuário do Microsoft Windows para montar o arquivo UsrClass.dat de uma conta alvo em uma área do registro acessível por outra conta. Esse arquivo guarda configurações por usuário, como associações de arquivos, registros COM, ajustes do shell e preferências relacionadas.

A versão pública da ferramenta foi escrita em C++ e, conforme o autor, recebeu limitações para reduzir abuso imediato. Para funcionar, ela exige execução local, credenciais de um segundo usuário padrão do Microsoft Windows e o nome da conta alvo.

Mudanças no registro podem denunciar o abuso

Como a técnica exige presença local e manipulação do registro, a investigação deve priorizar alterações fora do padrão em perfis privilegiados. Em testes citados na fonte, Will Dormann confirmou novas chaves em HKEY_USERS durante a execução da ferramenta e acesso ao hive Classes de um administrador por um usuário não administrador.

  • novas chaves surgindo em HKEY_USERS durante sessões de usuários comuns;
  • alterações incomuns em associações de arquivos de contas administradoras;
  • mudanças em registros COM ou configurações do shell de usuários privilegiados;
  • uso de ferramentas não autorizadas compiladas em C++ em estações Microsoft Windows;
  • comportamento estranho ao abrir arquivos, como .txt sendo aberto na Calculadora.

Contas administrativas devem ficar fora da rotina

Enquanto não há correção oficial citada na fonte, a prioridade é reduzir as condições necessárias para exploração. Empresas devem revisar contas locais, impedir compartilhamento de credenciais e limitar logons interativos em equipamentos sensíveis.

  • Não use contas administradoras para tarefas do dia a dia.
  • Remova contas padrão desnecessárias em estações e servidores.
  • Monitore alterações no registro ligadas a perfis de administradores.
  • Investigue qualquer alteração inesperada em associações de arquivos.
  • Mantenha o Microsoft Windows atualizado e acompanhe comunicados da Microsoft.

Checklist para reduzir exposição ao LegacyHive

  1. Liste contas locais e remova usuários que não precisam existir no equipamento.
  2. Separe contas administrativas de contas de uso diário e reduza logons privilegiados.
  3. Crie alertas para mudanças incomuns em HKEY_USERS, UsrClass.dat, associações de arquivos e registros COM.
  4. Bloqueie execução de ferramentas não autorizadas e investigue binários desconhecidos.
  5. Acompanhe eventual comunicado da Microsoft sobre CVE, mitigação ou correção.

Perguntas frequentes sobre LegacyHive

LegacyHive permite ataque remoto?

Pelo texto analisado, não. A falha exige execução local no Microsoft Windows e condições específicas, como credenciais de um segundo usuário padrão e o nome da conta alvo.

Existe correção oficial?

Na divulgação citada, não havia CVE, advisory da Microsoft ou correção do fornecedor indicada no repositório. A recomendação é acompanhar canais oficiais da Microsoft e manter o processo de gestão de vulnerabilidades ativo.

Qual é o risco prático?

O risco está em alterar configurações protegidas de uma conta administradora. Isso pode mudar como arquivos, aplicativos e componentes são acionados quando a conta privilegiada usa o Microsoft Windows.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua empresa a identificar riscos em ambientes Microsoft Windows, revisar privilégios locais e monitorar alterações críticas. Nosso time também apoia a resposta a vulnerabilidades antes que elas virem incidentes.

Conheça as soluções da LC SEC: Pentest, Threat Intelligence com IA, Conscientização de Segurança, SGSI, Plano Diretor de Segurança, Auditoria Interna, Governança de MFA e Cofre TOTP, ISO 42001 - IA, Diagnóstico Gratuito de Segurança. Acesse lcsec.io para falar com um especialista.

Fontes:
https://gbhackers.com/legacyhive-windows-zero-day/. Consulte a fonte original para detalhes técnicos e atualizações sobre a divulgação.