PoC foi divulgada após correções da Microsoft e pode elevar privilégios em sistemas Windows.
O pesquisador conhecido como Nightmare Eclipse divulgou uma prova de conceito chamada LegacyHive para o Microsoft Windows. A falha pode permitir elevação de privilégios, situação em que um usuário comum consegue mais acesso do que deveria ter. A Microsoft afirmou que está investigando o caso e reforçou a defesa da divulgação coordenada de vulnerabilidades.
Segundo o briefing da N2K CyberWire, o pesquisador Nightmare Eclipse publicou uma prova de conceito chamada LegacyHive, ligada a uma falha zero-day no Microsoft Windows. A divulgação aconteceu na terça-feira, logo depois de a Microsoft liberar correções para quase 600 falhas em seu Patch Tuesday.
O caso ganhou peso porque a falha aponta para elevação de privilégios. Na prática, uma conta com permissões limitadas passa a tentar acesso maior dentro do sistema. Esse tipo de brecha costuma abrir caminho para mudanças indevidas, movimentação lateral na rede e abuso de contas legítimas.
De acordo com a descrição citada na fonte, a PoC divulgada exige credenciais de outro usuário padrão e um terceiro nome de usuário, que pode ser uma conta administradora. Quando funciona, ela monta o hive do usuário alvo em uma área associada às classes do usuário atual.
Um hive é uma parte do registro do Windows, onde ficam configurações importantes de usuários e do sistema. A versão pública da PoC teria sido reduzida justamente para dificultar exploração imediata. O próprio Nightmare Eclipse afirmou que a versão original não dependia dessas credenciais adicionais e não ficava limitada ao arquivo usrclass.dat.
Como a Microsoft ainda investiga o caso, a fonte não traz um identificador oficial de correção específica para essa falha. Mesmo sem esse número, dá para acompanhar comportamentos incomuns ligados a contas e perfis no Microsoft Windows:
A prioridade é reduzir a chance de abuso enquanto a investigação continua. A Microsoft informou que está analisando o problema e reforçou o apoio à divulgação coordenada, prática em que pesquisadores comunicam falhas ao fabricante antes de torná-las públicas.
LegacyHive é o nome da prova de conceito divulgada por Nightmare Eclipse para demonstrar uma falha no Microsoft Windows com potencial de elevação de privilégios.
A fonte informa que a Microsoft está investigando o problema. O caso veio logo após um Patch Tuesday com correções para quase 600 falhas, mas não há confirmação na fonte de uma correção específica para a LegacyHive.
Sim, embora o risco seja maior em ambientes com várias contas e permissões diferentes. Em casa, o caminho é manter o Microsoft Windows atualizado e evitar contas administrativas para tarefas do dia a dia.
A LC SEC ajuda sua equipe a priorizar vulnerabilidades, revisar privilégios e transformar alertas técnicos em ações práticas para reduzir risco no Microsoft Windows e em outros ativos críticos.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Fontes:
https://thecyberwire.com/newsletters/daily-briefing/15/135