Exploit público mira sistemas Microsoft Windows atualizados e pode ampliar permissões de usuários comuns.
Um pesquisador identificado como Nightmare Eclipse publicou um exploit zero-day chamado LegacyHive. A falha afeta o Microsoft Windows atualizado e envolve o Windows User Profile Service. O risco principal é permitir que um usuário sem perfil administrativo eleve privilégios e obtenha mais controle sobre o sistema.
O LegacyHive é um exploit zero-day publicado para Microsoft Windows. Segundo o material analisado, ele apareceu poucas horas depois do Patch Tuesday de julho de 2026 da Microsoft, que corrigiu 570 falhas e 3 zero-days. Mesmo assim, o LegacyHive foi apresentado como uma falha ainda sem identificador CVE, o que dificulta o acompanhamento formal por equipes de segurança.
O ponto central é a elevação de privilégios em um computador já acessado por uma conta comum. Se a exploração for bem-sucedida, esse acesso pode ganhar permissões muito maiores, inclusive com impacto semelhante ao de administrador.
O problema está relacionado ao Windows User Profile Service, serviço ligado aos perfis de usuários do Microsoft Windows. O exploit divulgado foi reduzido pelo pesquisador para dificultar abuso direto: a versão pública exige credenciais de outro usuário padrão e um terceiro nome de usuário, que pode ser uma conta administradora.
Se a tentativa funcionar, o exploit monta a hive do usuário alvo dentro da área de classes do usuário atual. Em termos práticos, ele interfere em partes do Registro do Microsoft Windows associadas a perfis e configurações de usuário. O próprio pesquisador afirmou que a versão original era mais ampla e não se limitava ao arquivo usrclass.dat.
Como o caso envolve abuso de perfis e permissões, a detecção depende de observar mudanças incomuns em contas e no Registro do Microsoft Windows. O foco deve estar em comportamentos fora do padrão, principalmente quando partem de usuários sem perfil administrativo.
Até que a Microsoft publique orientação definitiva e identificação formal da falha, a prioridade é limitar o que um invasor consegue fazer com credenciais comuns. Quanto menor a quantidade de contas locais, senhas compartilhadas e privilégios permanentes, menor a superfície de abuso.
De acordo com o texto fornecido, a vulnerabilidade ainda não recebeu um identificador CVE. Isso torna o rastreamento mais difícil para inventário, priorização e correlação em ferramentas de segurança.
Sim. O exploit foi descrito como capaz de funcionar em sistemas Microsoft Windows atualizados. Por isso, a atenção deve incluir monitoramento, revisão de acesso e acompanhamento de comunicados da Microsoft.
O maior risco é a elevação de privilégios. Um acesso comum comprometido pode ganhar permissões maiores, ampliando o impacto de uma invasão e dificultando a contenção.
A MFA2GO ajuda sua empresa a reduzir abuso de credenciais, proteger contas privilegiadas e fortalecer o controle de acesso em ambientes Microsoft Windows. Esse tipo de controle é essencial quando uma falha transforma contas comuns em possíveis pontos de escalada.
Conheça: Cofre Corporativo de MFA, Gestão de Acesso, Autenticação Forte. Saiba mais em mfa2go.com.