Blog

Zero day LegacyHive no Microsoft Windows afeta versoes atualizadas

Escrito por Luiz Claudio | 15/07/2026 16:05:27
Vulnerabilidade

LegacyHive no Microsoft Windows, saiba o risco

Falha permite abuso do serviço de perfis mesmo em versões já atualizadas em julho.

Navegacao

O que aconteceu Como o LegacyHive funciona Sinais de alerta O que fazer agora Checklist pratico

Resumo rapido

Um pesquisador conhecido como Chaotic Eclipse publicou uma prova de conceito chamada LegacyHive. O caso envolve o Microsoft Windows e o serviço que gerencia perfis de usuários. O ponto que mais pesa: segundo o relato, a falha funciona em versões desktop e servidor suportadas, inclusive depois do Patch Tuesday de julho de 2026.

Neste artigo voce vai aprender:

  • O que foi divulgado sobre a falha LegacyHive no Microsoft Windows.
  • Por que o serviço de perfis de usuários é relevante para empresas.
  • Quais condições foram descritas para a prova de conceito pública.
  • Que sinais devem ser acompanhados pelas equipes de segurança.
  • Quais ações práticas reduzem o risco enquanto o caso é investigado.

O que aconteceu

Chaotic Eclipse, também identificado como Nightmare-Eclipse, divulgou uma prova de conceito chamada LegacyHive. Em termos simples, uma prova de conceito é um exemplo funcional que demonstra que uma falha pode ser explorada na prática.

A vulnerabilidade foi descrita como um problema de elevação de privilégios no Windows User Profile Service, também chamado de ProfSvc. Esse componente do Microsoft Windows carrega e gerencia o ambiente de cada usuário, incluindo configurações e dados ligados ao perfil.

O detalhe que eleva a preocupação é o escopo. O pesquisador afirmou que o LegacyHive funciona em todas as versões suportadas de desktop e servidor do Microsoft Windows, inclusive em máquinas com a atualização de segurança de julho de 2026 já instalada.

Como o LegacyHive funciona

O caso gira em torno do carregamento indevido de uma área de configurações do usuário, chamada de hive. Para quem não é técnico, pense nela como um conjunto de arquivos e registros que o Microsoft Windows usa para guardar preferências, permissões e informações do perfil.

Na versão pública, o pesquisador afirmou que a prova de conceito exige a credencial de outro usuário padrão e um terceiro nome de usuário, que pode ser uma conta administradora. Quando funciona, o resultado é o carregamento do hive do usuário alvo dentro da área de classes do usuário atual.

Segundo o próprio pesquisador, a versão publicada foi reduzida para dificultar abusos diretos. Ele também afirmou que a exploração original não exigia credenciais adicionais e não ficava limitada ao arquivo usrclass.dat, o que torna o assunto ainda mais sensível para ambientes corporativos.

Sinais de alerta

A fonte original não traz indicadores técnicos prontos, como nomes de arquivos maliciosos ou endereços de ataque. Mesmo assim, as empresas podem observar comportamentos compatíveis com abuso de perfis e contas locais:

  • Uso inesperado de contas padrão em máquinas onde elas quase nunca são acessadas.
  • Tentativas incomuns de acessar perfis de outros usuários no mesmo equipamento.
  • Atividades administrativas partindo de uma conta que não deveria ter esse nível de acesso.
  • Eventos fora do padrão logo após a criação, troca ou uso de credenciais locais.

Também vale acompanhar as atualizações oficiais da Microsoft, já que a empresa foi consultada sobre o LegacyHive e, em outro caso ligado ao pesquisador, informou estar investigando um novo relatório relacionado ao Microsoft Defender.

O que fazer agora

Como a divulgação ocorreu depois do Patch Tuesday, a recomendação não pode se limitar a checar se o Microsoft Windows está atualizado. A atualização continua importante, mas a situação pede controles adicionais.

  • Revise contas locais: remova usuários desnecessários e evite credenciais compartilhadas.
  • Reduza privilégios: mantenha contas administrativas separadas das contas de uso diário.
  • Monitore perfis: investigue acessos incomuns a perfis de outros usuários no mesmo dispositivo.
  • Priorize servidores: trate os servidores Windows como ativos críticos, sobretudo quando têm vários usuários.
  • Acompanhe correções: siga os comunicados da Microsoft sobre o LegacyHive e sobre falhas relacionadas ao Microsoft Defender.

Checklist pratico

  1. Liste estações e servidores Microsoft Windows suportados e confirme quais receberam o Patch Tuesday de julho de 2026.
  2. Revise usuários locais, contas padrão esquecidas e contas administrativas que possam servir como terceiro alvo.
  3. Crie uma rotina temporária de investigação para acessos anormais a perfis, mudanças de privilégio e uso fora do padrão de credenciais.

Perguntas frequentes

O LegacyHive já tem correção?

A fonte informa que a prova de conceito funciona mesmo após o Patch Tuesday de julho de 2026. A Microsoft foi procurada sobre o caso, mas o texto original não traz uma resposta final sobre correção específica para o LegacyHive.

Quem pode ser afetado?

Segundo o relato, todas as versões suportadas de desktop e servidor do Microsoft Windows podem ser afetadas, inclusive as que aplicaram o pacote de julho de 2026.

Isso é o mesmo que ataque remoto?

Não. O texto descreve uma elevação de privilégios ligada ao serviço de perfis. O risco principal é alguém com acesso limitado tentar obter mais controle dentro do Microsoft Windows.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua equipe a validar exposição em ambientes Microsoft Windows, revisar privilégios, priorizar ativos críticos e transformar alertas de vulnerabilidade em ações práticas de segurança.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/07/researcher-drops-new-windows-zero-day.html