Voltar ao início do blog

Zero day LegacyHive no Microsoft Windows afeta versoes atualizadas

Vulnerabilidade

LegacyHive no Microsoft Windows, saiba o risco

Falha permite abuso do serviço de perfis mesmo em versões já atualizadas em julho.

Zero day LegacyHive no Microsoft Windows afeta versoes atualizadas

Resumo rapido

Um pesquisador conhecido como Chaotic Eclipse publicou uma prova de conceito chamada LegacyHive. O caso envolve o Microsoft Windows e o serviço que gerencia perfis de usuários. O ponto que mais pesa: segundo o relato, a falha funciona em versões desktop e servidor suportadas, inclusive depois do Patch Tuesday de julho de 2026.

Neste artigo voce vai aprender:

  • O que foi divulgado sobre a falha LegacyHive no Microsoft Windows.
  • Por que o serviço de perfis de usuários é relevante para empresas.
  • Quais condições foram descritas para a prova de conceito pública.
  • Que sinais devem ser acompanhados pelas equipes de segurança.
  • Quais ações práticas reduzem o risco enquanto o caso é investigado.

O que aconteceu

Chaotic Eclipse, também identificado como Nightmare-Eclipse, divulgou uma prova de conceito chamada LegacyHive. Em termos simples, uma prova de conceito é um exemplo funcional que demonstra que uma falha pode ser explorada na prática.

A vulnerabilidade foi descrita como um problema de elevação de privilégios no Windows User Profile Service, também chamado de ProfSvc. Esse componente do Microsoft Windows carrega e gerencia o ambiente de cada usuário, incluindo configurações e dados ligados ao perfil.

O detalhe que eleva a preocupação é o escopo. O pesquisador afirmou que o LegacyHive funciona em todas as versões suportadas de desktop e servidor do Microsoft Windows, inclusive em máquinas com a atualização de segurança de julho de 2026 já instalada.

Como o LegacyHive funciona

O caso gira em torno do carregamento indevido de uma área de configurações do usuário, chamada de hive. Para quem não é técnico, pense nela como um conjunto de arquivos e registros que o Microsoft Windows usa para guardar preferências, permissões e informações do perfil.

Na versão pública, o pesquisador afirmou que a prova de conceito exige a credencial de outro usuário padrão e um terceiro nome de usuário, que pode ser uma conta administradora. Quando funciona, o resultado é o carregamento do hive do usuário alvo dentro da área de classes do usuário atual.

Segundo o próprio pesquisador, a versão publicada foi reduzida para dificultar abusos diretos. Ele também afirmou que a exploração original não exigia credenciais adicionais e não ficava limitada ao arquivo usrclass.dat, o que torna o assunto ainda mais sensível para ambientes corporativos.

Sinais de alerta

A fonte original não traz indicadores técnicos prontos, como nomes de arquivos maliciosos ou endereços de ataque. Mesmo assim, as empresas podem observar comportamentos compatíveis com abuso de perfis e contas locais:

  • Uso inesperado de contas padrão em máquinas onde elas quase nunca são acessadas.
  • Tentativas incomuns de acessar perfis de outros usuários no mesmo equipamento.
  • Atividades administrativas partindo de uma conta que não deveria ter esse nível de acesso.
  • Eventos fora do padrão logo após a criação, troca ou uso de credenciais locais.

Também vale acompanhar as atualizações oficiais da Microsoft, já que a empresa foi consultada sobre o LegacyHive e, em outro caso ligado ao pesquisador, informou estar investigando um novo relatório relacionado ao Microsoft Defender.

O que fazer agora

Como a divulgação ocorreu depois do Patch Tuesday, a recomendação não pode se limitar a checar se o Microsoft Windows está atualizado. A atualização continua importante, mas a situação pede controles adicionais.

  • Revise contas locais: remova usuários desnecessários e evite credenciais compartilhadas.
  • Reduza privilégios: mantenha contas administrativas separadas das contas de uso diário.
  • Monitore perfis: investigue acessos incomuns a perfis de outros usuários no mesmo dispositivo.
  • Priorize servidores: trate os servidores Windows como ativos críticos, sobretudo quando têm vários usuários.
  • Acompanhe correções: siga os comunicados da Microsoft sobre o LegacyHive e sobre falhas relacionadas ao Microsoft Defender.

Checklist pratico

  1. Liste estações e servidores Microsoft Windows suportados e confirme quais receberam o Patch Tuesday de julho de 2026.
  2. Revise usuários locais, contas padrão esquecidas e contas administrativas que possam servir como terceiro alvo.
  3. Crie uma rotina temporária de investigação para acessos anormais a perfis, mudanças de privilégio e uso fora do padrão de credenciais.

Perguntas frequentes

O LegacyHive já tem correção?

A fonte informa que a prova de conceito funciona mesmo após o Patch Tuesday de julho de 2026. A Microsoft foi procurada sobre o caso, mas o texto original não traz uma resposta final sobre correção específica para o LegacyHive.

Quem pode ser afetado?

Segundo o relato, todas as versões suportadas de desktop e servidor do Microsoft Windows podem ser afetadas, inclusive as que aplicaram o pacote de julho de 2026.

Isso é o mesmo que ataque remoto?

Não. O texto descreve uma elevação de privilégios ligada ao serviço de perfis. O risco principal é alguém com acesso limitado tentar obter mais controle dentro do Microsoft Windows.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua equipe a validar exposição em ambientes Microsoft Windows, revisar privilégios, priorizar ativos críticos e transformar alertas de vulnerabilidade em ações práticas de segurança.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/07/researcher-drops-new-windows-zero-day.html

Compartilhe nas redes sociais:

Conteúdos relacionados

Alertas de cibersegurança direto no Telegram

Vazamentos, vulnerabilidades críticas e tendências — curadoria diária pela nossa equipe de threat intel. Entre no canal oficial e fique à frente das ameaças.

Entrar no canal