Especialistas em autenticação multifator - Blog da MFA2GO

Zero day LegacyHive no Microsoft Windows da acesso de administrador

Escrito por MFA2GO | Jul 17, 2026 4:00:13 PM
Vulnerabilidade

LegacyHive no Microsoft Windows: o risco da elevação de privilégios

Exploit público mira sistemas Microsoft Windows atualizados e pode ampliar permissões de usuários comuns.

Navegação

Zero-day divulgado após atualização da MicrosoftO papel do Windows User Profile ServiceSinais que merecem investigaçãoMedidas para reduzir exposiçãoChecklist para equipes de segurança

Resumo rápido

Um pesquisador identificado como Nightmare Eclipse publicou um exploit zero-day chamado LegacyHive. A falha afeta o Microsoft Windows atualizado e envolve o Windows User Profile Service. O risco principal é permitir que um usuário sem perfil administrativo eleve privilégios e obtenha mais controle sobre o sistema.

Você verá aqui:

  • O que é o LegacyHive e por que ele merece atenção.
  • Qual componente do Microsoft Windows foi citado no problema.
  • Como o exploit público foi limitado pelo pesquisador.
  • Quais sinais devem ser investigados em ambientes corporativos.
  • Que medidas reduzem a exposição enquanto não há CVE informado.

Zero-day divulgado após atualização da Microsoft

O LegacyHive é um exploit zero-day publicado para Microsoft Windows. Segundo o material analisado, ele apareceu poucas horas depois do Patch Tuesday de julho de 2026 da Microsoft, que corrigiu 570 falhas e 3 zero-days. Mesmo assim, o LegacyHive foi apresentado como uma falha ainda sem identificador CVE, o que dificulta o acompanhamento formal por equipes de segurança.

O ponto central é a elevação de privilégios em um computador já acessado por uma conta comum. Se a exploração for bem-sucedida, esse acesso pode ganhar permissões muito maiores, inclusive com impacto semelhante ao de administrador.

O papel do Windows User Profile Service

O problema está relacionado ao Windows User Profile Service, serviço ligado aos perfis de usuários do Microsoft Windows. O exploit divulgado foi reduzido pelo pesquisador para dificultar abuso direto: a versão pública exige credenciais de outro usuário padrão e um terceiro nome de usuário, que pode ser uma conta administradora.

Se a tentativa funcionar, o exploit monta a hive do usuário alvo dentro da área de classes do usuário atual. Em termos práticos, ele interfere em partes do Registro do Microsoft Windows associadas a perfis e configurações de usuário. O próprio pesquisador afirmou que a versão original era mais ampla e não se limitava ao arquivo usrclass.dat.

Sinais que merecem investigação

Como o caso envolve abuso de perfis e permissões, a detecção depende de observar mudanças incomuns em contas e no Registro do Microsoft Windows. O foco deve estar em comportamentos fora do padrão, principalmente quando partem de usuários sem perfil administrativo.

  • Contas padrão tentando acessar ou alterar áreas de perfil de outros usuários.
  • Uso inesperado de credenciais locais em máquinas compartilhadas.
  • Alterações incomuns em hives de usuário, especialmente ligadas a classes e configurações.
  • Atividades suspeitas logo após login de usuários sem perfil administrativo.
  • Criação ou uso de nomes de usuário que não seguem o padrão da empresa.

Medidas para reduzir exposição

Até que a Microsoft publique orientação definitiva e identificação formal da falha, a prioridade é limitar o que um invasor consegue fazer com credenciais comuns. Quanto menor a quantidade de contas locais, senhas compartilhadas e privilégios permanentes, menor a superfície de abuso.

  • Revise contas locais: remova usuários antigos, duplicados ou sem dono claro.
  • Evite compartilhamento de senhas: o exploit público depende de credenciais adicionais.
  • Monitore endpoints Microsoft Windows: investigue alterações fora do padrão em perfis e Registro.
  • Mantenha o Microsoft Windows atualizado: mesmo que esta falha ainda seja zero-day, correções futuras devem chegar pelos canais oficiais.
  • Separe privilégios: use contas administrativas apenas quando necessário e por tempo limitado.

Checklist para equipes de segurança

  1. Liste computadores Microsoft Windows com usuários locais ativos e elimine contas desnecessárias.
  2. Verifique se há credenciais compartilhadas entre equipes, suporte e estações de uso comum.
  3. Crie alerta para mudanças incomuns em perfis de usuário e áreas sensíveis do Registro.
  4. Acompanhe os comunicados da Microsoft sobre o LegacyHive e possíveis correções.
  5. Reforce autenticação e controle de acesso para contas com privilégios elevados.

Perguntas frequentes

O LegacyHive já tem CVE?

De acordo com o texto fornecido, a vulnerabilidade ainda não recebeu um identificador CVE. Isso torna o rastreamento mais difícil para inventário, priorização e correlação em ferramentas de segurança.

O Microsoft Windows atualizado está em risco?

Sim. O exploit foi descrito como capaz de funcionar em sistemas Microsoft Windows atualizados. Por isso, a atenção deve incluir monitoramento, revisão de acesso e acompanhamento de comunicados da Microsoft.

Qual é o impacto prático para empresas?

O maior risco é a elevação de privilégios. Um acesso comum comprometido pode ganhar permissões maiores, ampliando o impacto de uma invasão e dificultando a contenção.

Proteja sua empresa com a MFA2GO

A MFA2GO ajuda sua empresa a reduzir abuso de credenciais, proteger contas privilegiadas e fortalecer o controle de acesso em ambientes Microsoft Windows. Esse tipo de controle é essencial quando uma falha transforma contas comuns em possíveis pontos de escalada.

Conheça: Cofre Corporativo de MFA, Gestão de Acesso, Autenticação Forte. Saiba mais em mfa2go.com.

Fontes:
https://www.bleepingcomputer.com/news/security/new-windows-legacyhive-zero-day-exploit-grants-hackers-admin-access/