LegacyHive no Microsoft Windows, saiba o risco
Falha permite abuso do serviço de perfis mesmo em versões já atualizadas em julho.

Resumo rapido
Um pesquisador conhecido como Chaotic Eclipse publicou uma prova de conceito chamada LegacyHive. O caso envolve o Microsoft Windows e o serviço que gerencia perfis de usuários. O ponto que mais pesa: segundo o relato, a falha funciona em versões desktop e servidor suportadas, inclusive depois do Patch Tuesday de julho de 2026.
Neste artigo voce vai aprender:
- O que foi divulgado sobre a falha LegacyHive no Microsoft Windows.
- Por que o serviço de perfis de usuários é relevante para empresas.
- Quais condições foram descritas para a prova de conceito pública.
- Que sinais devem ser acompanhados pelas equipes de segurança.
- Quais ações práticas reduzem o risco enquanto o caso é investigado.
O que aconteceu
Chaotic Eclipse, também identificado como Nightmare-Eclipse, divulgou uma prova de conceito chamada LegacyHive. Em termos simples, uma prova de conceito é um exemplo funcional que demonstra que uma falha pode ser explorada na prática.
A vulnerabilidade foi descrita como um problema de elevação de privilégios no Windows User Profile Service, também chamado de ProfSvc. Esse componente do Microsoft Windows carrega e gerencia o ambiente de cada usuário, incluindo configurações e dados ligados ao perfil.
O detalhe que eleva a preocupação é o escopo. O pesquisador afirmou que o LegacyHive funciona em todas as versões suportadas de desktop e servidor do Microsoft Windows, inclusive em máquinas com a atualização de segurança de julho de 2026 já instalada.
Como o LegacyHive funciona
O caso gira em torno do carregamento indevido de uma área de configurações do usuário, chamada de hive. Para quem não é técnico, pense nela como um conjunto de arquivos e registros que o Microsoft Windows usa para guardar preferências, permissões e informações do perfil.
Na versão pública, o pesquisador afirmou que a prova de conceito exige a credencial de outro usuário padrão e um terceiro nome de usuário, que pode ser uma conta administradora. Quando funciona, o resultado é o carregamento do hive do usuário alvo dentro da área de classes do usuário atual.
Segundo o próprio pesquisador, a versão publicada foi reduzida para dificultar abusos diretos. Ele também afirmou que a exploração original não exigia credenciais adicionais e não ficava limitada ao arquivo usrclass.dat, o que torna o assunto ainda mais sensível para ambientes corporativos.
Sinais de alerta
A fonte original não traz indicadores técnicos prontos, como nomes de arquivos maliciosos ou endereços de ataque. Mesmo assim, as empresas podem observar comportamentos compatíveis com abuso de perfis e contas locais:
- Uso inesperado de contas padrão em máquinas onde elas quase nunca são acessadas.
- Tentativas incomuns de acessar perfis de outros usuários no mesmo equipamento.
- Atividades administrativas partindo de uma conta que não deveria ter esse nível de acesso.
- Eventos fora do padrão logo após a criação, troca ou uso de credenciais locais.
Também vale acompanhar as atualizações oficiais da Microsoft, já que a empresa foi consultada sobre o LegacyHive e, em outro caso ligado ao pesquisador, informou estar investigando um novo relatório relacionado ao Microsoft Defender.
O que fazer agora
Como a divulgação ocorreu depois do Patch Tuesday, a recomendação não pode se limitar a checar se o Microsoft Windows está atualizado. A atualização continua importante, mas a situação pede controles adicionais.
- Revise contas locais: remova usuários desnecessários e evite credenciais compartilhadas.
- Reduza privilégios: mantenha contas administrativas separadas das contas de uso diário.
- Monitore perfis: investigue acessos incomuns a perfis de outros usuários no mesmo dispositivo.
- Priorize servidores: trate os servidores Windows como ativos críticos, sobretudo quando têm vários usuários.
- Acompanhe correções: siga os comunicados da Microsoft sobre o LegacyHive e sobre falhas relacionadas ao Microsoft Defender.
Checklist pratico
- Liste estações e servidores Microsoft Windows suportados e confirme quais receberam o Patch Tuesday de julho de 2026.
- Revise usuários locais, contas padrão esquecidas e contas administrativas que possam servir como terceiro alvo.
- Crie uma rotina temporária de investigação para acessos anormais a perfis, mudanças de privilégio e uso fora do padrão de credenciais.
Perguntas frequentes
O LegacyHive já tem correção?
A fonte informa que a prova de conceito funciona mesmo após o Patch Tuesday de julho de 2026. A Microsoft foi procurada sobre o caso, mas o texto original não traz uma resposta final sobre correção específica para o LegacyHive.
Quem pode ser afetado?
Segundo o relato, todas as versões suportadas de desktop e servidor do Microsoft Windows podem ser afetadas, inclusive as que aplicaram o pacote de julho de 2026.
Isso é o mesmo que ataque remoto?
Não. O texto descreve uma elevação de privilégios ligada ao serviço de perfis. O risco principal é alguém com acesso limitado tentar obter mais controle dentro do Microsoft Windows.
Proteja sua empresa com a LC SEC
A LC SEC ajuda sua equipe a validar exposição em ambientes Microsoft Windows, revisar privilégios, priorizar ativos críticos e transformar alertas de vulnerabilidade em ações práticas de segurança.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Fontes:
https://thehackernews.com/2026/07/researcher-drops-new-windows-zero-day.html
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.

