Falha local permite alterar configurações de contas privilegiadas no Microsoft Windows. O caso foi divulgado com prova de conceito pública.
LegacyHive é uma falha local de elevação de privilégio no Microsoft Windows. Ela pode permitir que um usuário comum carregue e altere o hive de registro UsrClass.dat de uma conta administradora. Na divulgação analisada, havia prova de conceito pública, mas não havia CVE ou correção oficial citada.
LegacyHive é o nome dado a uma vulnerabilidade local no Microsoft Windows que pode permitir a um usuário sem privilégios acessar e modificar partes do registro de outra conta. O impacto fica mais sensível quando a conta alvo é administradora, já que preferências e componentes ligados ao perfil privilegiado podem ser alterados.
O caso foi publicado pelo pesquisador NightmareEclipse no repositório MSNightmare/LegacyHive. Segundo o material analisado, a falha afeta instalações suportadas do Microsoft Windows para desktop e do Microsoft Windows Server, incluindo sistemas com os patches de segurança de julho de 2026.
A prova de conceito abusa do Serviço de Perfil de Usuário do Microsoft Windows para montar o arquivo UsrClass.dat de uma conta alvo em uma área do registro acessível por outra conta. Esse arquivo guarda configurações por usuário, como associações de arquivos, registros COM, ajustes do shell e preferências relacionadas.
A versão pública da ferramenta foi escrita em C++ e, conforme o autor, recebeu limitações para reduzir abuso imediato. Para funcionar, ela exige execução local, credenciais de um segundo usuário padrão do Microsoft Windows e o nome da conta alvo.
Como a técnica exige presença local e manipulação do registro, a investigação deve priorizar alterações fora do padrão em perfis privilegiados. Em testes citados na fonte, Will Dormann confirmou novas chaves em HKEY_USERS durante a execução da ferramenta e acesso ao hive Classes de um administrador por um usuário não administrador.
Enquanto não há correção oficial citada na fonte, a prioridade é reduzir as condições necessárias para exploração. Empresas devem revisar contas locais, impedir compartilhamento de credenciais e limitar logons interativos em equipamentos sensíveis.
Pelo texto analisado, não. A falha exige execução local no Microsoft Windows e condições específicas, como credenciais de um segundo usuário padrão e o nome da conta alvo.
Na divulgação citada, não havia CVE, advisory da Microsoft ou correção do fornecedor indicada no repositório. A recomendação é acompanhar canais oficiais da Microsoft e manter o processo de gestão de vulnerabilidades ativo.
O risco está em alterar configurações protegidas de uma conta administradora. Isso pode mudar como arquivos, aplicativos e componentes são acionados quando a conta privilegiada usa o Microsoft Windows.
A LC SEC ajuda sua empresa a identificar riscos em ambientes Microsoft Windows, revisar privilégios locais e monitorar alterações críticas. Nosso time também apoia a resposta a vulnerabilidades antes que elas virem incidentes.
Conheça as soluções da LC SEC: Pentest, Threat Intelligence com IA, Conscientização de Segurança, SGSI, Plano Diretor de Segurança, Auditoria Interna, Governança de MFA e Cofre TOTP, ISO 42001 - IA, Diagnóstico Gratuito de Segurança. Acesse lcsec.io para falar com um especialista.
Fontes:
https://gbhackers.com/legacyhive-windows-zero-day/. Consulte a fonte original para detalhes técnicos e atualizações sobre a divulgação.