LegacyHive no Microsoft Windows, saiba o risco
PoC mostra falha de elevação de privilégios ainda ativa após o Patch Tuesday de julho.

Resumo rapido
O pesquisador conhecido como Chaotic Eclipse divulgou um PoC chamado LegacyHive, que explora uma falha no Microsoft Windows ligada ao serviço de perfil de usuário. O ponto mais sensível: a demonstração foi descrita como funcional em versões desktop e servidor ainda suportadas, mesmo após o Patch Tuesday de julho de 2026.
Neste artigo voce vai aprender:
- O que é o PoC LegacyHive e por que ele preocupa.
- Qual componente do Microsoft Windows está envolvido.
- Como a falha pode ajudar na elevação de privilégios.
- Quais sinais merecem atenção em ambientes corporativos.
- Quais ações práticas reduzem o risco enquanto o caso é investigado.
O que aconteceu
O pesquisador de segurança Chaotic Eclipse, também conhecido como Nightmare-Eclipse, publicou uma prova de conceito batizada de LegacyHive. Uma prova de conceito, na prática, é a demonstração de que uma falha pode mesmo ser explorada, e não apenas uma hipótese teórica.
A falha foi descrita como elevação de privilégios no Microsoft Windows e envolve o Windows User Profile Service, também chamado de ProfSvc. Esse componente cuida dos perfis dos usuários, ou seja, das configurações e do ambiente individual de cada conta.
O caso preocupa por um motivo específico: segundo o relato, o PoC funciona em todas as versões desktop e servidor do Microsoft Windows ainda suportadas, incluindo sistemas que já receberam a atualização de segurança de julho de 2026.
Como a falha funciona
O LegacyHive gira em torno do carregamento indevido de uma hive, que pode ser entendida como um bloco de configurações internas do Microsoft Windows. Esses dados dizem ao sistema como cada usuário deve ser carregado e quais preferências e permissões estão ligadas ao perfil.
Na versão pública, o PoC exige a credencial de outro usuário comum e um terceiro nome de usuário, que pode ser uma conta administradora. Quando a exploração dá certo, a hive do usuário alvo acaba montada dentro da área de classes do usuário atual, abrindo espaço para abuso de permissões.
O próprio pesquisador afirmou ter reduzido a versão divulgada para dificultar o abuso direto. Segundo ele, a versão original não precisava de credenciais adicionais e não ficava limitada ao arquivo usrclass.dat.
Sinais de alerta
O material divulgado não traz uma lista oficial de indicadores de ataque. Ainda assim, equipes de TI podem ficar de olho em comportamentos coerentes com o tipo de abuso descrito:
- uso inesperado de contas comuns em sequência com outras contas da mesma máquina;
- alterações incomuns em perfis de usuário no Microsoft Windows;
- montagens ou acessos fora do padrão a áreas de configuração de usuários;
- eventos de login envolvendo contas que normalmente não acessam aquele computador;
- mudanças administrativas sem solicitação formal ou sem registro em chamado.
Nenhum desses pontos prova exploração por si só, mas ajudam a separar a rotina normal do que merece uma investigação mais atenta.
O que fazer agora
Como o caso foi descrito como funcional mesmo depois do Patch Tuesday de julho de 2026, a resposta não pode ser apenas "atualizar e esquecer". Manter o Microsoft Windows em dia segue essencial, mas o reforço nos controles de acesso é o que faz diferença aqui.
- Revise contas locais e remova usuários sem necessidade real.
- Evite compartilhar credenciais entre funcionários ou equipes.
- Reduza o número de contas com privilégios administrativos.
- Monitore alterações em perfis de usuário e eventos de autenticação.
- Priorize computadores críticos, servidores e estações usadas por administradores.
Vale também acompanhar os comunicados da Microsoft, já que a empresa foi procurada sobre o LegacyHive e, no mesmo contexto, informou estar investigando outro relato relacionado ao Microsoft Defender.
Checklist pratico
- Mapeie quais máquinas Microsoft Windows têm contas administrativas locais e reduza esse grupo ao mínimo necessário.
- Verifique logs de acesso e mudanças em perfis de usuário, com foco em servidores e estações sensíveis.
- Mantenha o Patch Tuesday aplicado, mas combine a atualização com monitoramento e revisão de privilégios.
Perguntas frequentes
O que é o LegacyHive?
O LegacyHive é uma prova de conceito divulgada por Chaotic Eclipse para demonstrar uma falha de elevação de privilégios no Microsoft Windows ligada ao serviço de perfil de usuário.
Atualizar o Microsoft Windows resolve o problema?
Segundo o relato publicado, o PoC continua funcionando em versões suportadas do Microsoft Windows mesmo após o Patch Tuesday de julho de 2026. Ainda assim, manter as atualizações em dia segue como medida básica de proteção.
Minha empresa deve se preocupar?
Sim, principalmente se você usa estações ou servidores Microsoft Windows com várias contas locais ou privilégios administrativos amplos. O risco cresce quando credenciais são compartilhadas ou quando contas antigas continuam ativas sem ninguém revisar.
Proteja sua empresa com a MFA2GO
Falhas de elevação de privilégios mostram por que controlar identidades pesa tanto quanto aplicar patches. A MFA2GO ajuda sua empresa a reduzir o uso indevido de credenciais, fortalecer acessos e proteger contas críticas.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com
Fontes:
https://thehackernews.com/2026/07/researcher-drops-new-windows-zero-day.html
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.
