Falha permite abuso do serviço de perfis mesmo em versões já atualizadas em julho.
Um pesquisador conhecido como Chaotic Eclipse publicou uma prova de conceito chamada LegacyHive. O caso envolve o Microsoft Windows e o serviço que gerencia perfis de usuários. O ponto que mais pesa: segundo o relato, a falha funciona em versões desktop e servidor suportadas, inclusive depois do Patch Tuesday de julho de 2026.
Chaotic Eclipse, também identificado como Nightmare-Eclipse, divulgou uma prova de conceito chamada LegacyHive. Em termos simples, uma prova de conceito é um exemplo funcional que demonstra que uma falha pode ser explorada na prática.
A vulnerabilidade foi descrita como um problema de elevação de privilégios no Windows User Profile Service, também chamado de ProfSvc. Esse componente do Microsoft Windows carrega e gerencia o ambiente de cada usuário, incluindo configurações e dados ligados ao perfil.
O detalhe que eleva a preocupação é o escopo. O pesquisador afirmou que o LegacyHive funciona em todas as versões suportadas de desktop e servidor do Microsoft Windows, inclusive em máquinas com a atualização de segurança de julho de 2026 já instalada.
O caso gira em torno do carregamento indevido de uma área de configurações do usuário, chamada de hive. Para quem não é técnico, pense nela como um conjunto de arquivos e registros que o Microsoft Windows usa para guardar preferências, permissões e informações do perfil.
Na versão pública, o pesquisador afirmou que a prova de conceito exige a credencial de outro usuário padrão e um terceiro nome de usuário, que pode ser uma conta administradora. Quando funciona, o resultado é o carregamento do hive do usuário alvo dentro da área de classes do usuário atual.
Segundo o próprio pesquisador, a versão publicada foi reduzida para dificultar abusos diretos. Ele também afirmou que a exploração original não exigia credenciais adicionais e não ficava limitada ao arquivo usrclass.dat, o que torna o assunto ainda mais sensível para ambientes corporativos.
A fonte original não traz indicadores técnicos prontos, como nomes de arquivos maliciosos ou endereços de ataque. Mesmo assim, as empresas podem observar comportamentos compatíveis com abuso de perfis e contas locais:
Também vale acompanhar as atualizações oficiais da Microsoft, já que a empresa foi consultada sobre o LegacyHive e, em outro caso ligado ao pesquisador, informou estar investigando um novo relatório relacionado ao Microsoft Defender.
Como a divulgação ocorreu depois do Patch Tuesday, a recomendação não pode se limitar a checar se o Microsoft Windows está atualizado. A atualização continua importante, mas a situação pede controles adicionais.
A fonte informa que a prova de conceito funciona mesmo após o Patch Tuesday de julho de 2026. A Microsoft foi procurada sobre o caso, mas o texto original não traz uma resposta final sobre correção específica para o LegacyHive.
Segundo o relato, todas as versões suportadas de desktop e servidor do Microsoft Windows podem ser afetadas, inclusive as que aplicaram o pacote de julho de 2026.
Não. O texto descreve uma elevação de privilégios ligada ao serviço de perfis. O risco principal é alguém com acesso limitado tentar obter mais controle dentro do Microsoft Windows.
A LC SEC ajuda sua equipe a validar exposição em ambientes Microsoft Windows, revisar privilégios, priorizar ativos críticos e transformar alertas de vulnerabilidade em ações práticas de segurança.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Fontes:
https://thehackernews.com/2026/07/researcher-drops-new-windows-zero-day.html