Voltar ao início do blog

Zero-day no Microsoft Windows permite escalar privilegios via hive

Vulnerabilidade

Microsoft Windows tem zero-day LegacyHive, saiba o risco

PoC foi divulgada após correções da Microsoft e pode elevar privilégios em sistemas Windows.

Zero-day no Microsoft Windows permite escalar privilegios via hive

Resumo rapido

O pesquisador conhecido como Nightmare Eclipse divulgou uma prova de conceito chamada LegacyHive para o Microsoft Windows. A falha pode permitir elevação de privilégios, situação em que um usuário comum consegue mais acesso do que deveria ter. A Microsoft afirmou que está investigando o caso e reforçou a defesa da divulgação coordenada de vulnerabilidades.

Neste artigo voce vai aprender:

  • O que foi divulgado sobre o zero-day no Microsoft Windows
  • Por que elevação de privilégios é um risco relevante
  • Como a PoC LegacyHive foi descrita pelo pesquisador
  • Quais sinais devem chamar atenção em ambientes corporativos
  • Quais ações práticas reduzem exposição enquanto a Microsoft investiga

Contexto do caso

Segundo o briefing da N2K CyberWire, o pesquisador Nightmare Eclipse publicou uma prova de conceito chamada LegacyHive, ligada a uma falha zero-day no Microsoft Windows. A divulgação aconteceu na terça-feira, logo depois de a Microsoft liberar correções para quase 600 falhas em seu Patch Tuesday.

O caso ganhou peso porque a falha aponta para elevação de privilégios. Na prática, uma conta com permissões limitadas passa a tentar acesso maior dentro do sistema. Esse tipo de brecha costuma abrir caminho para mudanças indevidas, movimentação lateral na rede e abuso de contas legítimas.

Como a falha funciona

De acordo com a descrição citada na fonte, a PoC divulgada exige credenciais de outro usuário padrão e um terceiro nome de usuário, que pode ser uma conta administradora. Quando funciona, ela monta o hive do usuário alvo em uma área associada às classes do usuário atual.

Um hive é uma parte do registro do Windows, onde ficam configurações importantes de usuários e do sistema. A versão pública da PoC teria sido reduzida justamente para dificultar exploração imediata. O próprio Nightmare Eclipse afirmou que a versão original não dependia dessas credenciais adicionais e não ficava limitada ao arquivo usrclass.dat.

Sinais de alerta

Como a Microsoft ainda investiga o caso, a fonte não traz um identificador oficial de correção específica para essa falha. Mesmo sem esse número, dá para acompanhar comportamentos incomuns ligados a contas e perfis no Microsoft Windows:

  • Uso inesperado de credenciais de usuários padrão em máquinas onde eles normalmente não acessam.
  • Alterações incomuns em perfis de usuário ou áreas do registro do Windows.
  • Tentativas de acesso envolvendo contas comuns e nomes de contas administrativas.
  • Atividades suspeitas logo após testes internos, atualizações ou mudanças de permissões.

O que fazer agora

A prioridade é reduzir a chance de abuso enquanto a investigação continua. A Microsoft informou que está analisando o problema e reforçou o apoio à divulgação coordenada, prática em que pesquisadores comunicam falhas ao fabricante antes de torná-las públicas.

  • Mantenha o Microsoft Windows com as correções mais recentes do Patch Tuesday.
  • Revise contas locais e remova privilégios administrativos desnecessários.
  • Evite compartilhar credenciais entre usuários e sistemas.
  • Monitore mudanças em permissões, perfis e no registro do Windows.
  • Oriente as equipes de TI a tratar PoCs públicas com cuidado, sem rodar testes em produção.

Checklist pratico

  1. Verifique se os computadores com Microsoft Windows receberam as atualizações mais recentes.
  2. Revise contas com privilégio administrativo e mantenha apenas o que for necessário.
  3. Monitore atividades incomuns envolvendo credenciais, perfis de usuário e registro do Windows.

Perguntas frequentes

O que é a LegacyHive?

LegacyHive é o nome da prova de conceito divulgada por Nightmare Eclipse para demonstrar uma falha no Microsoft Windows com potencial de elevação de privilégios.

A falha já tem correção?

A fonte informa que a Microsoft está investigando o problema. O caso veio logo após um Patch Tuesday com correções para quase 600 falhas, mas não há confirmação na fonte de uma correção específica para a LegacyHive.

Usuários domésticos também devem se preocupar?

Sim, embora o risco seja maior em ambientes com várias contas e permissões diferentes. Em casa, o caminho é manter o Microsoft Windows atualizado e evitar contas administrativas para tarefas do dia a dia.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua equipe a priorizar vulnerabilidades, revisar privilégios e transformar alertas técnicos em ações práticas para reduzir risco no Microsoft Windows e em outros ativos críticos.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thecyberwire.com/newsletters/daily-briefing/15/135

Compartilhe nas redes sociais:

Conteúdos relacionados

Alertas de cibersegurança direto no Telegram

Vazamentos, vulnerabilidades críticas e tendências — curadoria diária pela nossa equipe de threat intel. Entre no canal oficial e fique à frente das ameaças.

Entrar no canal