Microsoft Windows tem zero-day LegacyHive, saiba o risco
PoC foi divulgada após correções da Microsoft e pode elevar privilégios em sistemas Windows.

Resumo rapido
O pesquisador conhecido como Nightmare Eclipse divulgou uma prova de conceito chamada LegacyHive para o Microsoft Windows. A falha pode permitir elevação de privilégios, situação em que um usuário comum consegue mais acesso do que deveria ter. A Microsoft afirmou que está investigando o caso e reforçou a defesa da divulgação coordenada de vulnerabilidades.
Neste artigo voce vai aprender:
- O que foi divulgado sobre o zero-day no Microsoft Windows
- Por que elevação de privilégios é um risco relevante
- Como a PoC LegacyHive foi descrita pelo pesquisador
- Quais sinais devem chamar atenção em ambientes corporativos
- Quais ações práticas reduzem exposição enquanto a Microsoft investiga
Contexto do caso
Segundo o briefing da N2K CyberWire, o pesquisador Nightmare Eclipse publicou uma prova de conceito chamada LegacyHive, ligada a uma falha zero-day no Microsoft Windows. A divulgação aconteceu na terça-feira, logo depois de a Microsoft liberar correções para quase 600 falhas em seu Patch Tuesday.
O caso ganhou peso porque a falha aponta para elevação de privilégios. Na prática, uma conta com permissões limitadas passa a tentar acesso maior dentro do sistema. Esse tipo de brecha costuma abrir caminho para mudanças indevidas, movimentação lateral na rede e abuso de contas legítimas.
Como a falha funciona
De acordo com a descrição citada na fonte, a PoC divulgada exige credenciais de outro usuário padrão e um terceiro nome de usuário, que pode ser uma conta administradora. Quando funciona, ela monta o hive do usuário alvo em uma área associada às classes do usuário atual.
Um hive é uma parte do registro do Windows, onde ficam configurações importantes de usuários e do sistema. A versão pública da PoC teria sido reduzida justamente para dificultar exploração imediata. O próprio Nightmare Eclipse afirmou que a versão original não dependia dessas credenciais adicionais e não ficava limitada ao arquivo usrclass.dat.
Sinais de alerta
Como a Microsoft ainda investiga o caso, a fonte não traz um identificador oficial de correção específica para essa falha. Mesmo sem esse número, dá para acompanhar comportamentos incomuns ligados a contas e perfis no Microsoft Windows:
- Uso inesperado de credenciais de usuários padrão em máquinas onde eles normalmente não acessam.
- Alterações incomuns em perfis de usuário ou áreas do registro do Windows.
- Tentativas de acesso envolvendo contas comuns e nomes de contas administrativas.
- Atividades suspeitas logo após testes internos, atualizações ou mudanças de permissões.
O que fazer agora
A prioridade é reduzir a chance de abuso enquanto a investigação continua. A Microsoft informou que está analisando o problema e reforçou o apoio à divulgação coordenada, prática em que pesquisadores comunicam falhas ao fabricante antes de torná-las públicas.
- Mantenha o Microsoft Windows com as correções mais recentes do Patch Tuesday.
- Revise contas locais e remova privilégios administrativos desnecessários.
- Evite compartilhar credenciais entre usuários e sistemas.
- Monitore mudanças em permissões, perfis e no registro do Windows.
- Oriente as equipes de TI a tratar PoCs públicas com cuidado, sem rodar testes em produção.
Checklist pratico
- Verifique se os computadores com Microsoft Windows receberam as atualizações mais recentes.
- Revise contas com privilégio administrativo e mantenha apenas o que for necessário.
- Monitore atividades incomuns envolvendo credenciais, perfis de usuário e registro do Windows.
Perguntas frequentes
O que é a LegacyHive?
LegacyHive é o nome da prova de conceito divulgada por Nightmare Eclipse para demonstrar uma falha no Microsoft Windows com potencial de elevação de privilégios.
A falha já tem correção?
A fonte informa que a Microsoft está investigando o problema. O caso veio logo após um Patch Tuesday com correções para quase 600 falhas, mas não há confirmação na fonte de uma correção específica para a LegacyHive.
Usuários domésticos também devem se preocupar?
Sim, embora o risco seja maior em ambientes com várias contas e permissões diferentes. Em casa, o caminho é manter o Microsoft Windows atualizado e evitar contas administrativas para tarefas do dia a dia.
Proteja sua empresa com a LC SEC
A LC SEC ajuda sua equipe a priorizar vulnerabilidades, revisar privilégios e transformar alertas técnicos em ações práticas para reduzir risco no Microsoft Windows e em outros ativos críticos.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Fontes:
https://thecyberwire.com/newsletters/daily-briefing/15/135
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.

