[ Início ]
Vol. 2 (abr. 2026) | Pp. 224–226 | ISSN 3086-6103
Alerta: Nova PoC zero-day para Windows Defender denominada “LegacyHive” foi publicada nesta semana
Estamos cientes de uma PoC publicada no dia 14/07/2026 em um repositório no GitHub pelo pesquisador Chaotic Eclipse. O pesquisador é conhecido na área e já realizou o desenvolvimento de várias PoCs envolvendo o sistema da Microsoft, dentre elas a BlueHammer, RedSun, MiniPlasma, RoguePlanet e GreatXML, as quais já foram tratadas em outras publicações no Diário.
Contexto e Origem
LegacyHive foi divulgado logo após o Patch Tuesday de julho de 2026, no qual a Microsoft divulgou a correção de mais de 600 CVEs. Entretanto, a técnica demonstrada permanece funcional em sistemas Windows atualizados, mostrando que a PoC publicada não depende de nenhuma vulnerabilidade corrigida.
O alvo da PoC é o Windows User Profile Service, conhecido como ProfSvc. Esse componente participa do carregamento de perfis de usuário no logon, incluindo hives de registro como NTUSER.DAT e UsrClass.dat, que armazenam configurações do ambiente do usuário, associações de arquivos, preferências de aplicações e artefatos relacionados ao Windows Explorer.
A técnica remete a uma classe antiga de problemas em que processos de baixa integridade conseguem influenciar o carregamento de hives de perfis mais privilegiados. O diferencial de LegacyHive está no uso combinado de alterações offline em hive, links simbólicos no Object Manager do Windows e uma condição de corrida controlada para alterar o destino final do arquivo carregado.
Exploração da Vulnerabilidade
Como foi contextualizado, a PoC explora o processo de carregamento de perfis do Windows para induzir o serviço User Profile Service (ProfSvc) a montar o arquivo UsrClass.dat pertencente a outro usuário. Para isso, o código combina alteração offline de hive de Registro, links simbólicos no namespace de objetos do Windows e uma condição de corrida sincronizada por oplock.
A execução requer como parâmetros as credenciais de uma conta auxiliar sem privilégios e o nome do usuário alvo. A conta auxiliar é usada para iniciar uma nova sessão com perfil, enquanto o alvo é o usuário cujo hive UsrClass.dat será carregado de forma indevida.
Em resumo, a execução segue este fluxo:
-
A PoC recebe as credenciais de uma conta auxiliar e o nome de um usuário alvo, necessitando de uma execução local e uma segunda credencial válida na versão pública.
-
Ela altera o
ntuser.datda conta auxiliar para redefinirLocal AppDatae conduzir a busca do hive pelo namespaceBaseNamedObjects\Restricted. -
A PoC cria links simbólicos que inicialmente levam ao diretório temporário com um
UsrClass.datde isca, mas também deixam preparado um destino alternativo, nesse caso o diretórioMicrosoft\Windowsdo usuário alvo. -
Ao disparar um novo logon com perfil para a conta auxiliar, o
ProfSvccomeça a abrir o arquivo de isca, então o oplock pausa a operação e permite remover o primeiro redirecionamento no momento exato. -
A resolução de caminho passa ao destino alternativo, e o serviço conclui o carregamento usando o
UsrClass.datdo alvo na raiz de classes associada à conta auxiliar. -
Por fim, a PoC confirma a montagem do hive e tenta restaurar o
ntuser.dat, apagar os arquivos temporários e encerrar o processo auxiliar.
A demonstração pública comprova um primitive de redirecionamento cross-user de hive, e não uma cadeia completa de escalonamento de privilégios. Dessa forma, ela não entrega automaticamente execução de código elevado, mas pode oferecer acesso indevido a dados de Registro de outro perfil e servir de base para ataques mais amplos.
Sistemas Afetados
Segundo as análises disponíveis, a PoC funciona em instalações desktop e server do Windows plenamente atualizadas após o Patch Tuesday de julho de 2026. Isso inclui sistemas que já aplicaram as correções distribuídas pela Microsoft naquele ciclo.
Até a publicação analisada, o LegacyHive não possuí uma CVE própria nem uma correção oficial específica da Microsoft. Dessa forma, é recomendado realizar o acompanhamento de comunicados futuros do fabricante e tratar a técnica como um risco ativo de detecção.
Mitigações
Como a PoC restaura o hive original e apaga arquivos temporários durante sua rotina de limpeza, a ausência de arquivos suspeitos não descarta a possibilidade de execução. Assim, a principal recomentação é realizar o monitoramento dos arquivos:
C:\Users\*\ntuser.dat
C:\Users\*\AppData\Local\Microsoft\Windows\UsrClass.dat
Além disso, alguns sinais de alerta que devem ser invstigados são: processos executados por usuário padrão escrevendo no hive de outro usuário, a substituição de ntuser.dat por processos que não sejam componentes esperados do Windows e a criação de hives em C:\, %TEMP%, %ProgramData% ou outros locais anômalos.
Referências
[1] ThreatLocker. LegacyHive: Video demo and analysis of Windows 0-day from NightmareEclipse. Disponível em:
https://www.threatlocker.com/blog/legacyhive-video-demo-and-analysis-of-windows-0-day-from-nightmareeclipse
. Acesso em: 16 de julho de 2026.
[2] The Register. Microsoft’s serial tormentor drops LegacyHive 0-day. Disponível em:
https://www.theregister.com/security/2026/07/15/microsofts-serial-tormentor-drops-legacyhive-0-day/5271723
. Acesso em: 16 de julho de 2026.
[3] Core-JMP. LegacyHive: The Windows User Profile Service Bug That Loads Another User’s Registry Hive. Disponível em: https://core-jmp.org/2026/07/legacyhive-windows-user-profile-service-hive-load-eop/. Acesso em: 16 de julho de 2026.
Alerta: CrashStealer para macOS imita componente da Apple para roubar credenciais e dados sensíveis.
Estamos cientes de uma nova família de infostealer para macOS chamada CrashStealer, desenvolvida em C++ e destacada por se passar…
Alerta: Cursor IDE executa arquivos maliciosos de repositórios Git
Pesquisadores encontraram uma nova vulnerabilidade a qual faz com que um ambiente de desenvolvimento Cursor possa executar arquivos binários maliciosos…
A superfície de ataque dos agentes de IA deixou de estar restrita a prompts de texto, documentos e páginas web.…
Vulnerabilidade crítica de bypass de autenticação no Cisco Catalyst SD-WAN (CVE-2026-20127)
Uma vulnerabilidade crítica, identificada como CVE-2026-20127, foi divulgada, dia 25 de Fevereiro, afetando componentes da plataforma Cisco Catalyst SD-WAN, anteriormente…
Campanha em larga escala explora CMS expostos e transforma sites legítimos em vetores de ataque
Uma campanha global de exploração em larga escala está atingindo plataformas de gerenciamento de conteúdo, os CMS, expostas na internet.…
Correções Juniper Julho 2026: Total de 26 boletins, 4 críticos, e o que priorizar
A Juniper publicou, no ciclo de julho de 2026, um conjunto expressivo de boletins de segurança envolvendo o Junos OS,…