render-mfa2go-novo-logo
Voltar ao início do blog

Zero day LegacyHive no Microsoft Windows da acesso de administrador

Vulnerabilidade

LegacyHive no Microsoft Windows: o risco da elevação de privilégios

Exploit público mira sistemas Microsoft Windows atualizados e pode ampliar permissões de usuários comuns.

Zero day LegacyHive no Microsoft Windows da acesso de administrador

Resumo rápido

Um pesquisador identificado como Nightmare Eclipse publicou um exploit zero-day chamado LegacyHive. A falha afeta o Microsoft Windows atualizado e envolve o Windows User Profile Service. O risco principal é permitir que um usuário sem perfil administrativo eleve privilégios e obtenha mais controle sobre o sistema.

Você verá aqui:

  • O que é o LegacyHive e por que ele merece atenção.
  • Qual componente do Microsoft Windows foi citado no problema.
  • Como o exploit público foi limitado pelo pesquisador.
  • Quais sinais devem ser investigados em ambientes corporativos.
  • Que medidas reduzem a exposição enquanto não há CVE informado.

Zero-day divulgado após atualização da Microsoft

O LegacyHive é um exploit zero-day publicado para Microsoft Windows. Segundo o material analisado, ele apareceu poucas horas depois do Patch Tuesday de julho de 2026 da Microsoft, que corrigiu 570 falhas e 3 zero-days. Mesmo assim, o LegacyHive foi apresentado como uma falha ainda sem identificador CVE, o que dificulta o acompanhamento formal por equipes de segurança.

O ponto central é a elevação de privilégios em um computador já acessado por uma conta comum. Se a exploração for bem-sucedida, esse acesso pode ganhar permissões muito maiores, inclusive com impacto semelhante ao de administrador.

O papel do Windows User Profile Service

O problema está relacionado ao Windows User Profile Service, serviço ligado aos perfis de usuários do Microsoft Windows. O exploit divulgado foi reduzido pelo pesquisador para dificultar abuso direto: a versão pública exige credenciais de outro usuário padrão e um terceiro nome de usuário, que pode ser uma conta administradora.

Se a tentativa funcionar, o exploit monta a hive do usuário alvo dentro da área de classes do usuário atual. Em termos práticos, ele interfere em partes do Registro do Microsoft Windows associadas a perfis e configurações de usuário. O próprio pesquisador afirmou que a versão original era mais ampla e não se limitava ao arquivo usrclass.dat.

Sinais que merecem investigação

Como o caso envolve abuso de perfis e permissões, a detecção depende de observar mudanças incomuns em contas e no Registro do Microsoft Windows. O foco deve estar em comportamentos fora do padrão, principalmente quando partem de usuários sem perfil administrativo.

  • Contas padrão tentando acessar ou alterar áreas de perfil de outros usuários.
  • Uso inesperado de credenciais locais em máquinas compartilhadas.
  • Alterações incomuns em hives de usuário, especialmente ligadas a classes e configurações.
  • Atividades suspeitas logo após login de usuários sem perfil administrativo.
  • Criação ou uso de nomes de usuário que não seguem o padrão da empresa.

Medidas para reduzir exposição

Até que a Microsoft publique orientação definitiva e identificação formal da falha, a prioridade é limitar o que um invasor consegue fazer com credenciais comuns. Quanto menor a quantidade de contas locais, senhas compartilhadas e privilégios permanentes, menor a superfície de abuso.

  • Revise contas locais: remova usuários antigos, duplicados ou sem dono claro.
  • Evite compartilhamento de senhas: o exploit público depende de credenciais adicionais.
  • Monitore endpoints Microsoft Windows: investigue alterações fora do padrão em perfis e Registro.
  • Mantenha o Microsoft Windows atualizado: mesmo que esta falha ainda seja zero-day, correções futuras devem chegar pelos canais oficiais.
  • Separe privilégios: use contas administrativas apenas quando necessário e por tempo limitado.

Checklist para equipes de segurança

  1. Liste computadores Microsoft Windows com usuários locais ativos e elimine contas desnecessárias.
  2. Verifique se há credenciais compartilhadas entre equipes, suporte e estações de uso comum.
  3. Crie alerta para mudanças incomuns em perfis de usuário e áreas sensíveis do Registro.
  4. Acompanhe os comunicados da Microsoft sobre o LegacyHive e possíveis correções.
  5. Reforce autenticação e controle de acesso para contas com privilégios elevados.

Perguntas frequentes

O LegacyHive já tem CVE?

De acordo com o texto fornecido, a vulnerabilidade ainda não recebeu um identificador CVE. Isso torna o rastreamento mais difícil para inventário, priorização e correlação em ferramentas de segurança.

O Microsoft Windows atualizado está em risco?

Sim. O exploit foi descrito como capaz de funcionar em sistemas Microsoft Windows atualizados. Por isso, a atenção deve incluir monitoramento, revisão de acesso e acompanhamento de comunicados da Microsoft.

Qual é o impacto prático para empresas?

O maior risco é a elevação de privilégios. Um acesso comum comprometido pode ganhar permissões maiores, ampliando o impacto de uma invasão e dificultando a contenção.

Proteja sua empresa com a MFA2GO

A MFA2GO ajuda sua empresa a reduzir abuso de credenciais, proteger contas privilegiadas e fortalecer o controle de acesso em ambientes Microsoft Windows. Esse tipo de controle é essencial quando uma falha transforma contas comuns em possíveis pontos de escalada.

Conheça: Cofre Corporativo de MFA, Gestão de Acesso, Autenticação Forte. Saiba mais em mfa2go.com.

Fontes:
https://www.bleepingcomputer.com/news/security/new-windows-legacyhive-zero-day-exploit-grants-hackers-admin-access/

Compartilhe nas redes sociais:

Conteúdos relacionados