PoC mostra falha de elevação de privilégios ainda ativa após o Patch Tuesday de julho.
O pesquisador conhecido como Chaotic Eclipse divulgou um PoC chamado LegacyHive, que explora uma falha no Microsoft Windows ligada ao serviço de perfil de usuário. O ponto mais sensível: a demonstração foi descrita como funcional em versões desktop e servidor ainda suportadas, mesmo após o Patch Tuesday de julho de 2026.
O pesquisador de segurança Chaotic Eclipse, também conhecido como Nightmare-Eclipse, publicou uma prova de conceito batizada de LegacyHive. Uma prova de conceito, na prática, é a demonstração de que uma falha pode mesmo ser explorada, e não apenas uma hipótese teórica.
A falha foi descrita como elevação de privilégios no Microsoft Windows e envolve o Windows User Profile Service, também chamado de ProfSvc. Esse componente cuida dos perfis dos usuários, ou seja, das configurações e do ambiente individual de cada conta.
O caso preocupa por um motivo específico: segundo o relato, o PoC funciona em todas as versões desktop e servidor do Microsoft Windows ainda suportadas, incluindo sistemas que já receberam a atualização de segurança de julho de 2026.
O LegacyHive gira em torno do carregamento indevido de uma hive, que pode ser entendida como um bloco de configurações internas do Microsoft Windows. Esses dados dizem ao sistema como cada usuário deve ser carregado e quais preferências e permissões estão ligadas ao perfil.
Na versão pública, o PoC exige a credencial de outro usuário comum e um terceiro nome de usuário, que pode ser uma conta administradora. Quando a exploração dá certo, a hive do usuário alvo acaba montada dentro da área de classes do usuário atual, abrindo espaço para abuso de permissões.
O próprio pesquisador afirmou ter reduzido a versão divulgada para dificultar o abuso direto. Segundo ele, a versão original não precisava de credenciais adicionais e não ficava limitada ao arquivo usrclass.dat.
O material divulgado não traz uma lista oficial de indicadores de ataque. Ainda assim, equipes de TI podem ficar de olho em comportamentos coerentes com o tipo de abuso descrito:
Nenhum desses pontos prova exploração por si só, mas ajudam a separar a rotina normal do que merece uma investigação mais atenta.
Como o caso foi descrito como funcional mesmo depois do Patch Tuesday de julho de 2026, a resposta não pode ser apenas "atualizar e esquecer". Manter o Microsoft Windows em dia segue essencial, mas o reforço nos controles de acesso é o que faz diferença aqui.
Vale também acompanhar os comunicados da Microsoft, já que a empresa foi procurada sobre o LegacyHive e, no mesmo contexto, informou estar investigando outro relato relacionado ao Microsoft Defender.
O LegacyHive é uma prova de conceito divulgada por Chaotic Eclipse para demonstrar uma falha de elevação de privilégios no Microsoft Windows ligada ao serviço de perfil de usuário.
Segundo o relato publicado, o PoC continua funcionando em versões suportadas do Microsoft Windows mesmo após o Patch Tuesday de julho de 2026. Ainda assim, manter as atualizações em dia segue como medida básica de proteção.
Sim, principalmente se você usa estações ou servidores Microsoft Windows com várias contas locais ou privilégios administrativos amplos. O risco cresce quando credenciais são compartilhadas ou quando contas antigas continuam ativas sem ninguém revisar.
Falhas de elevação de privilégios mostram por que controlar identidades pesa tanto quanto aplicar patches. A MFA2GO ajuda sua empresa a reduzir o uso indevido de credenciais, fortalecer acessos e proteger contas críticas.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com
Fontes:
https://thehackernews.com/2026/07/researcher-drops-new-windows-zero-day.html